Name-Server, die Domain Name Systems (DNS) hosten, sind überall vorhanden und in der Regel nicht sehr gut abgesichert - genau deshalb haben sie sich zu einem leichten Ziel für Angreifer entwickelt. DNS ist einer der wenigen Dienste, der fast an jeder Stelle durch die Firewall kommen darf - meistens über designierte lokale DNS-Lookup-Server.
DNS-Traffic ist in Maßen immer präsent und wird weniger streng gefiltert als Web- oder E-Mail-Verkehr. Im Gegensatz zu Web-Traffic hält die Mehrzahl der Netzwerkbetreiber zudem keine detaillierten Aufzeichnungen für DNS Lookups vor und untersucht DNS-Traffic auch nicht. Ein weiterer Vorteil für Angreifer: Die mehr oder weniger zustandslose Natur des Protokolls erlaubt es ihnen, ihre Identität zu verbergen.
Eine DNS-Infrastruktur liefert zentrale Internetdienste. Im Ergebnis ist daher auch immer der Status der verknüpften Internet Domains vom Status der DNS-Server betroffen - ist dieser down oder der Service-Name nicht auflösbar, sind die Internet Domains nicht mehr erreichbar. Malware-Autoren beginnen mittlerweile, die Chancen zu erkennen, die diese Tatsachen mit sich bringen. Sie entwickeln kontinuierlich neue Malware, die über das DNS mit den Bot-Operators, also dem Rechner der die Bots (kleine Computerprogramme) steuert, kommunizieren und Angriffe ausführen kann.
Eine neue Generation von Botnetzen und anderen so genannte Advanced Persistent Threats (APTs) nutzen vermehrt das DNS, um Maschinen zu infizieren und für ihre Zwecke einzusetzen, sowie um ausgeklügelte Netzwerkattacken auszuführen oder andere kriminelle Tätigkeiten zu verstecken.
Zwei Hauptarten von DNS-basierten Angriffen
Zum einen gibt es Angriffe, die hauptsächlich auf die Unterbrechung von DNS-Diensten abzielen, etwa DOS/DDOS-Attacken, Cache Poisoning, Man-in-the-middle-Angriffe (MITM) und Ähnliches. Zum anderen werden DNS-Attacken ausgeführt, um über das DNS Unternehmen auszuspähen und die gewonnenen Daten gewinnbringend zu nutzen, etwa durch Botnetz-Angriffe, Domain Phishing, APTs und Tunneling-Betrug. Beide Bereiche sind wiederum einer Reihe von Gefahren ausgesetzt, die im Folgenden näher erläutert werden.
Angriffe, um DNS-Dienste zu unterbrechen
Eine der wichtigsten Angriffsarten nennt sich Cache Poisoning. Bei einem solchen Angriff werden manipulierte DNS-Adressen an den DNS Resolver geschickt, die dann im DNS-Cache gespeichert werden. Ein DNS-Resolver ist im Prinzip ein Name-Server, mit dem Namen in IP-Adressen umgewandelt werden - auf Anfrage eines Nutzers. Ein User, dessen Rechner also eine Adresse sucht und auf den manipulierten Server geleitet wird, akzeptiert so automatisch Inhalte, die von einem eigentlich nicht authorisierten Server kommen. Der Nutzer merkt dann nicht, dass er infizierten Content herunterlädt.
Attacken auf das DNS-Protokoll sind weitere Gefahren. Hier sendet der Angreifer manipulierte DNS-Anfragen oder -Antworten an den DNS-Server, auf den er es abgesehen hat. So können Programmfehler in die Serversoftware gebracht werden. Das kann unter anderen zu missgebildeten Paketen, Code-Einbindung, Pufferüberlauf, Speicherfehlern, NULL-Zeiger Dereferenzierung oder dem Ausnutzen von spezifischen Schwächen führen. Denial of Service (DOS), Cache Poisoning und eine Kompromittierung des Zielservers sind mögliche Konsequenzen.
Weiterhin wichtig sind auch Attacken durch DNS-Umleitung (MITM). Die DNS-Kommunikation erfolgt verbindungslos über das Netzwerkprotokoll User Datagram Protocol. So kann sich ein Angreifer zwischen Sender und Empfänger positionieren, den Datenverkehr kontrollieren und sogar manipulieren (Man-in-the-Middle-Angriffe, MITM). Beispiele für solche Arten von Angriffen sind DNS-Changer (Schadsoftware) oder Angriffe durch unzulässige Umleitungen. Die Hauptmotive für solche Angriffe sind Hacktivismus, Phishing, Webseitenverunstaltung oder Datendiebstahl.
Das sogenannte DNS Tunneling verdankt seinen Namen der Tatsache, dass das DNS als versteckter Kanal genutzt wird, um traditionelle Verteidigungsmechanismen zu umgehen. Ein- und ausgehende Daten werden in kleinen Stücken verschlüsselt und entsprechend in die DNS-Anfragen und -Antworten integriert. Wenn andere Kommunikationswege nicht funktionieren, kann die Malware, die ein Opfer erreicht, denjenigen kontaktieren, der sie kontrolliert, und so gestohlene Daten unbemerkt weitergeben sowie Befehle empfangen und umsetzen.
Beim Domain Phishing wird versucht, eine seriöse Domain zu stehlen und sie zu einer alternativen Domain umzuleiten, die von Hackern kontrolliert wird - das passiert beipielsweise besonders häufig bei Domains von Banken oder Reiseportalen. So können die Hacker sensible Informationen wie Nutzernamen, Passwörter, Sozialversicherungsnummern, PINs und Kreditkartendaten abgreifen. Sobald Hacker diese Daten haben, kann der eigentliche Angriff stattfinden.
Im vergangenen Jahr sind auch Größe, Geschwindigkeit und Komplexität von DOS- und DDOS-Attacken signifikant angestiegen. Hier lassen sich vor allem zwei Typen ausfindig machen. Zum einen richten sich Angriffe direkt an die Server der DNS-Infrastruktur, dazu gehören etwa Flood-Attacken auf verschiedene Protokolle (zum Beispiel das Internet Control Message Protocol, ICMP), die diese mit Anfragen regelrecht überfluten und so ausschalten; Flood-Attacken gibt es zudem auch auf Anwendungsebene. Smurf-Attacken dagegen sind Angriffe, die von Bot-Netzen ausgelöst werden, nach Auflösung des Namen verlangen, die Quelladresse fälschen und große Mengen von DNS-Anfragen senden, um den DNS-Server damit heillos zu überlasten.
Beim zweiten Typus handelt es sich dagegen um solche Attacken, die einen DNS-Server nutzen, um einen Angriff auszuführen. Amplification ist hier ein Beispiel, bei dem sehr große Datenströme auf den Internetanschluss eines Nutzers geleitet werden, um ihn zu überlasten. Zudem gibt es Reflective-DDOS-Attacken: Bei diesem Szenario nutzt der Angreifer gefälschte DNS-Anfragen und bringt den DNS-Server so dazu, große, nicht angeforderte DNS-Antworten zu senden und die Zielmaschine zu attackieren. Dabei werden nur kleine DNS-Anfragen an viele verschiedene DNS-Server gesendet, sodass diese wahrscheinlich unbemerkt bleiben. Durch die Verstärkung über das DNS werden massive DDOS-Attacken ausgelöst.
Angriffe, um über das DNS Unternehmen auszuspähen
Das DNS Fast Fluxing ist eine Angriffsart, die von Botnetzen genutzt wird, um damit den Standort von speziellen Webservern unkenntlich zu machen. Fast Fluxing besteht demnach darin, dass IP-Adressen sich schnell und häufig ändern. Das passiert, indem die Gültigkeitsdauer von DNS-Einträgen verkürzt wird. Beim sogenannten Domain Fluxing wird dagegen die Zuteilung von mehreren vollständigen Domain-Namen ständig geändert, sodass diese zu einer einzigen IP-Adresse geleitet werden. Die Bots werden dabei von einem Operator gesteuert, der Command & Control-Server (C&C-Server) genannt wird.
Aktuell gibt es immer mehr Bots, die dynamische Algorithmen nutzen, um solche vollständigen Domain-Namen zu generieren, wenn der Bot Agent versucht, die kontrollierende Server-Infrastruktur zu lokalisieren. Diese werden im Allgemeinen als Domain Generation Algorithm (DGA) Bots bezeichnet.
Häufig anzutreffen sind weiterhin Attacken, mit denen sich Angreifer Netzwerkzugriff verschaffen, der lange nicht entdeckt wird. Diese Advanced Persistent Threats (APTs) bestehen aus fortgeschrittener, beharrlicher Malware, die nur entwickelt und eingesetzt wird, um ein bestimmtes Ziel zu erreichen. Beispiele sind Conficker A/B/C, Torpig, Kraken oder ganz aktuell auch TDSS/TLD4-Malware. Sämtliche Schadprogramme nutzen das DNS, um heimlich mit dem sich woanders befindenden C&C-Server zu kommunizieren und zusätzliche Malware-Pakete sowie Anweisungen zu bekommen, mit denen sie Angriffe ausführen können.
DNS-Angriffen vorbeugen
Die Vielzahl der oben genannten Beispiele zeigt deutlich, dass die Angriffsmöglichkeiten auf das DNS zu vielschichtig sind, als dass eine einzige Technologie vor allen Arten von Attacken schützen könnte. Der umfassende Schutz der DNS-Infrastruktur bedarf daher einer ausgeklügelten Sicherheitsstrategie auf mehreren Ebenen.
Beinhalten sollte diese Strategie in jedem Fall DNS-Firewalls. Damit können Gefahren in Echtzeit festgestellt, Anomalien entdeckt und das DNS gegen bösartige Domains geschützt werden. Aber auch die Einhaltung von Internetstandards ist wichtig. Mit Domain Name System Security Extensions (DNSSEC) etwa werden DNS-Einträge digital signiert, um sicherzustellen, dass diese nicht von verdächtigen Quellen vergiftet werden. DOS/DDOS-Schutzsysteme unterstützen dabei, fortgeschrittene Denial-of-Service-Attacken zu erkennen und zu bekämpfen.
Dat- Leakage-Prevention (DLP)-Monitoring-Systeme bemerken dagegen direkt, wenn es ein Datenleck über das DNS oder andere Protokolle gibt. Dedizierte APT-bezogene Analyse-Systeme lernen etwa nach und nach, APT-Malware zu erkennen, die über das DNS mit Kontroll-Servern kommuniziert - ein Schutz, der mit der Zeit wirksamer wird.
Fazit
Das DNS ist schnell zu einer attraktiven Option für Angreifer geworden, die existierende Verteidigungsmechanismen umgehen und die oben beschriebenen Verfahren nutzen wollen. Hauptmotive sind dabei Cyber-Krieg, Industriespionage, Hacktivismus, politische Hintergründe, Datendiebstahl, Spam-Versand oder koordinierte DDOS-Attacken.
Die Zahl der DNS-basierten Angriffe ist besonders im vergangenen Jahr stark angestiegen. Das zeigt, dass bestehende Systeme sowie Next-Generation Firewalls wohl nicht mehr ausreichen. Deshalb müssen Unternehmen eine mehrschichtige Verteidigungsstrategie fahren, um diesen modernen Gefahren und der Malware, die über das DNS in die Infrastruktur gelangt und so existierende Vorkehrungen umgeht, zu trotzen. (hal)