Cyberkriminalität

Verwundbarkeit des Domain Name Systems

| Autor / Redakteur: Rainer Singer / Andreas Donner

Das DNS ist von zentraler Bedeutung und ein neuralgischer Punkt in zahlreichen Unternehmensnetzwerken.
Das DNS ist von zentraler Bedeutung und ein neuralgischer Punkt in zahlreichen Unternehmensnetzwerken. (Bild: ® - aa_amie - stock.adobe.com)

Wir alle benutzen es täglich, aber kaum jemand weiß mehr darüber: Das Domain Name System, kurz DNS. Hauptaufgabe des DNS ist es, leicht zu merkende URLs wie etwa www.it-business.de in die zur Navigation notwendige IP-Adressen zu übersetzen. Doch das DNS dient auch als Einfallstor für Angriffe.

Mit dem Domain Name System stellte Paul Mockapetris von der University of Southern California (USC) 1983 ein neuartiges Namenskonzept mit einer dezentralen Struktur vor. Das Domain Name System ist das Telefonbuch für Domains:

Der Nutzer tippt die Domain ein und sendet diese als Anfrage an das Internet. Diese wird dort vom DNS in die zugehörige IP-Adresse umgewandelt – zum Beispiel eine IPv4-Adresse der Form 192.0.2.42 oder eine IPv6-Adresse wie 2001:db8:85a3:8d3:1319:8a2e:370:7347 – und leitet den Nutzer zum richtigen Rechner. Dieses Konzept hat vielerlei Vorteile. Domains sind sehr viel leichter zu merken und auch langlebiger als IP-Adressen. Bei einem Providerwechsel ändert sich beispielsweise die IP, der Domain-Name bleibt jedoch identisch.

Struktur des DNS

Das DNS verfügt über eine hierarchische Struktur für den Namensraum in Baumform. Ein Domain-Name wird immer von hinten nach vorne gelesen. Von hinten beginnt die Adresse mit der Top-Level-Domain (TLD), wie beispielsweise .com, .org oder .de. Davor steht die Second-Level-Domain, die von einer Person oder Organisation beantragt und eingesetzt werden kann. Davor wiederum steht der Host oder Dienst wie www, ftp oder wiki. Als Trennzeichen bzw. Astgabelungen zwischen den unterschiedlichen Ebenen dienen Punkte.

Das DNS dient als umfassendes Inhaltsverzeichnis sowie zur Verwaltung der DNS-Zonen. Diese Zonen stellen einen abgegrenzten Teil des Domänenbaums dar, für den ein DNS-Server zuständig ist. Die wichtigste DNS-Zone sind die TLDs, welche auf so genannten Root-Servern gespeichert sind.

Daneben gibt es die so genannten Name-Server, dies sind physische oder virtuelle Server in zwei unterschiedlichen Ausprägungen: autoritative Name-Server, auf denen vollständige Informationen über eine bestimmte Zone liegen, und rekursive Name-Server, die DNS-Abfragen der Internetnutzer beantworten und DNS-Antwortergebnisse eine Zeit lang zwischenspeichern.

Ergänzendes zum Thema
 
Infoblox DNS-Security

Die DNS-Name-Server werden massiv beansprucht: sie müssen Milliarden von Anfragen jeden Tag bewältigen, denn jedes Mal, wenn jemand eine Internetadresse in seinen Browser eingibt, erhält ein Domain-Name-Server irgendwo auf der Welt die Anfrage, lokalisiert die IP-Adresse und leitet den Anfragenden zum richtigen Server weiter – und all das in nur wenigen Millisekunden.

Das DNS verfügt über eine hierarchische Struktur für den Namensraum in Baumform.
Das DNS verfügt über eine hierarchische Struktur für den Namensraum in Baumform. (Bild: Infoblox)

Das DNS im Fadenkreuz

Im Jahr 2016 geriet das Domain Name System zunehmend ins Fadenkreuz krimineller Hacker und damit auch verstärkt in das Bewusstsein der IT-Security-Experten. Aus historischen Gründen verfügt das DNS nicht über ein umfassendes Sicherheitskonzept – es wurde zu einer Zeit konzipiert, als Angriffe noch kaum relevant waren. Dies hat sich in den letzten Jahren geändert: Die polizeiliche Kriminalstatistik verzeichnete für das Jahr 2016 einen massiven Anstieg der Cyberkriminalität um fast 50 Prozent. Dazu zählen Sabotage, Betrug sowie das Ausspähen und Abfangen von Daten. Und gerade das DNS kann in vielfältiger Weise von Cyberkriminellen missbraucht werden.

Advanced Persistent Threats auf dem Vormarsch

In der Regel sind die meisten Wege in das Unternehmensnetz durch Security-Systeme wie Firewalls versperrt. Das gilt allerdings nicht für das DNS-Protokoll: häufig wird lediglich eine Syntax-Kontrolle vorgenommen. Dies nutzen Malware-Entwickler und Hacker gnadenlos aus und verwenden das DNS als Transportmittel für Schadprogramme.

Laut aktueller Studien nutzen über 90 Prozent der Malware DNS als Vehikel, um in den geschützten Netzwerkbereich einzudringen. Hacker nutzen zudem neuere Betriebssystem-Schwachstellen (siehe WannyCry, hier wurde eine 2 Monate alte SMB Vulnerability im Windows OS ausgenutzt). Ebenso verwendet Malware häufig dynamisch generierte DNS Domänen (DGA – Domain Generation Algorithm) um Reputationsfilter für DNS auszutricksen. Beide bewegen sich im Bereich der so genannten Zero-Day-Attacken. Das Problem ist, dass Sicherheitsmaßnahmen wie Firewalls, E-Mail- sowie Web-Proxys nichts gegen Attacken auf das DNS ausrichten können.

DNS-ausnutzende Malware ist so programmiert, dass sie auf Servern und Geräten für lange Zeit unerkannt bleibt. Eine Backdoor Malware greift unter Umgehung der normalen Zugriffssicherung auf einen Computer oder eine sonst geschützte Funktion eines Computerprogramms zu. Diese Malware erhält Befehle von einem Master Controller und kann auf mehrere infizierte Geräte und deren Daten zugreifen und weitere Aktionen durchführen – z.B. Spam-E-Mails versenden oder an einem DDoS-Angriff mitwirken.

Da dieser Malware-Typ weit entwickelt ist und so programmiert wurde, dass er über längere Zeit aktiviert werden kann, ist eine weitverbreitete Bezeichnung Advanced Persistent Threat oder APT-Malware. Die ideale Lösung zum Schutz vor APT-Malware ist eine spezielle DNS-Firewall, die über differenzierte Funktionen in Bezug auf Proaktivität, Reaktionsgeschwindigkeit und Anpassungsfähigkeit verfügt.

DNS Tunneling – der heimliche Weg ins Unternehmensnetzwerk

Das DNS kann weiterhin dazu genutzt werden, um an einer Firewall vorbei einen versteckten DNS-Tunnel in das Netzwerk eines Unternehmens oder einer Behörde zu erstellen und sensible Daten abzugreifen. Mit Tools wie Iodine kann aus fast jedem Netzwerk ein Tunnel über das DNS nach außen aufgebaut werden. Außerdem können Hacker über diesen Tunnel Schadprogramme oder Instruktionen einschleusen, die versteckte kriminelle Aktivitäten anstoßen. Dabei kann es vorkommen, dass das Eindringen erst sehr spät oder überhaupt nicht entdeckt wird und Hacker ungehindert über eine längere Zeit hinweg ein Unternehmen oder eine Organisation infiltrieren können. DNS Tunneling ist schwer zu entdecken, da die Inhalte des Datenverkehrs über das DNS-Protokoll nicht beziehungsweise nur oberflächlich kontrolliert werden.

Gefährliches Umleiten des Datenverkehrs

Eine weitere Angriffsmethode über das DNS ist das so genannte Cache Poisoning. Dabei werden DNS-Daten für betrügerische Zwecke in den Cache eines rekursiven Name-Servers eingespeist, die die Zuordnung zwischen einem Domain-Namen und der zugehörigen IP-Adresse fälschen. Dies dient dazu den Datenverkehr unbemerkt zu einer feindlichen Website zu lenken, um zum Beispiel einen Phishing-Angriff durchzuführen. Eine weitere Angriffs-Methode dieser Kategorie ist das sogenannte DNS Hijacking, bei dem die Auflösung von DNS-Anfragen unterwandert wird, um sie auf einen böswilligen DNS-Server umzuleiten.

Gefahren durch DDoS-Attacken

Zu den häufigeren Fällen von Computersabotage gehören Distributed-Denial-of-Service-Angriffe (DDoS), die oftmals das DNS als Einfallstor missbrauchen und 2016 einen vorläufigen Höhepunkt erreichten. Von Oktober bis Dezember 2016 fanden über 11.500 DDoS-Attacken im deutschsprachigen Raum statt – ein absoluter Rekord. Im Durchschnitt sind dies etwa 126 Attacken pro Tag.

DDoS-Attacken haben das vorrangige Ziel, Webseiten lahmzulegen und dadurch massiven Schaden anzurichten. Davon betroffen waren die Deutsche Telekom, Twitter, Netflix und Spotify sowie zahlreiche Regierungsorganisationen und Behörden weltweit. Für solche Attacken wurden in der Vergangenheit mehrmals Geräte aus dem Internet of Things gekapert, beispielsweise für die Angriffe auf die Telekom.

Malware dank Threat Intelligence ausschalten

Doch das DNS ist nicht nur eine potenzielle Schwachstelle, es kann heute auch dazu genutzt werden erweiterte Sicherheits-Funktionen zu übernehmen: Da jegliche Art der Internet-Kommunikation auf Domain-Namen beruht, ist das DNS ein Kontrollpunkt, an dem Malware erkannt werden kann.

Mit DNS Response Policy Zones (RPZ) und Threat Intelligence Feeds kann der Datenfluss über das DNS kontrolliert werden. Damit lässt sich festlegen, welche Domain-Namen nicht aufgelöst werden sollen. Die Datenbank des ActiveTrust Feed von Infoblox umfasst aktuell über 4,5 Millionen bekannte bösartige Domain-Namen. So können Unternehmen Malware frühzeitig identifizieren und ausschalten.

Fazit

Das DNS ist von zentraler Bedeutung und ein neuralgischer Punkt in zahlreichen Unternehmensnetzwerken. Unternehmen drohen massive Schäden, verursacht durch den Ausfall von Webseite oder die Veröffentlichung vertraulicher Daten – und fast noch gravierender ist die Rufschädigung und die damit verbundenen immensen Kosten.

Rainer Singer
Rainer Singer (Bild: Infoblox)

Doch noch immer ist das Bewusstsein für die Verwundbarkeit des DNS und die Notwendigkeit einer Absicherung nicht fest verankert. Unternehmen und Organisationen müssen dringend in ein modernes Netzwerk und in den Schutz ihrer DNS-Infrastruktur investieren, um auf die Gefahren und Herausforderung von morgen vorbereitet zu sein.

Über den Autor

Rainer Singer ist Systems Engineering Manager Zentraleuropa bei Infoblox.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44787060 / Aktuelles & Hintergründe)