Angriffe auf das Domain Name System (DNS), bei denen böswillige Akteure Schwachstellen im DNS-Protokoll des Internets ausnutzen, sind sehr verbreitet und kostspielig.

Das Domain Name System (Domain Name System) wird ständig angegriffen, und diese Angriffe scheinen kein Ende zu nehmen, da die Bedrohungen immer ausgefeilter werden. DNS ist so viel wie das Telefonbuch des Internets, es ist der Teil der globalen Internetinfrastruktur, der bekannte Namen in Nummern übersetzt, die Computer benötigen, um auf eine Website zuzugreifen oder E-Mails zu senden. Während das DNS seit langem das Ziel von Angriffen ist, die darauf abzielen, alle Arten von Unternehmens- und privaten Informationen zu stehlen, deuten die Bedrohungen, die im letzten Jahr aufgetaucht sind, auf eine Verschlechterung der Situation hin.

Überprüfen Sie auch:

Die Aufgabe von DNS besteht darin, einen Begriff, den ein Benutzer in ein Suchfeld eingeben kann (bekannt als menschenlesbarer Name), in die entsprechende Zahlenfolge (IP-Adresse) zu übersetzen, die das Gerät benötigt, um auf eine Website zuzugreifen oder eine E-Mail zu senden. Angriffe auf diese unersetzlichen Systeme können äußerst bösartig sein.

Eine IDC-Umfrage aus dem Jahr 2021 unter mehr als 1.100 Organisationen in Nordamerika, Europa und im asiatisch-pazifischen Raum ergab, dass 87 % von ihnen DNS-Angriffe erlebt hatten. Die durchschnittlichen Kosten für jeden Angriff betrugen etwa 950.000 US-Dollar für alle Regionen und etwa 1 Million US-Dollar für nordamerikanische Organisationen.

Was ist DNS und wie funktioniert es?

Der Bericht stellte auch fest, dass Unternehmen in allen Branchen im vergangenen Jahr durchschnittlich 7,6 Angriffe erlebten.

Der Übergang von COVID-19 zu Offsite-Arbeit und die Reaktion von Unternehmen auf die Verlagerung von Ressourcen in die Cloud zur Erhöhung ihrer Verfügbarkeit sind dem Bericht zufolge zu neuen Zielen für Angreifer geworden.

Die Studie fand auch einen starken Anstieg des Datendiebstahls über DNS – 26 % der Unternehmen gaben an, vertrauliche Kundeninformationen zu stehlen, gegenüber 16 % im Jahr 2020.

Wir stellen die häufigsten Arten von DNS-Angriffen vor.

DNS-Boost löst DDOS-Angriffe aus

Ein DNS-Amplification-Angriff ist eine gängige Form von Distributed Denial of Service (DDoS), bei der offene und öffentlich verfügbare DNS-Server verwendet werden, um das Zielsystem mit DNS-Antwortdatenverkehr zu überlasten.

Laut der Cybersecurity and Infrastructure Agency (CISA), die die US-Bemühungen anführt, die Widerstandsfähigkeit der physischen und elektronischen Infrastruktur des Landes zu erhöhen, sendet ein Angreifer eine Suchanfrage an einen offenen DNS-Server für einen DNS-Namen mit einer festgelegten Quelladresse Zieladresse.

Wenn der DNS-Server eine Antwort auf den DNS-Eintrag sendet, wird er an das Ziel gesendet. Laut CISA senden Angreifer normalerweise eine Anfrage, um so viele Gebietsinformationen wie möglich zu erhalten, um den Poliereffekt zu maximieren. Bei den meisten vom US-CERT beobachteten Angriffen dieser Art sind die von den Angreifern gesendeten Abfragen vom Typ „beliebig“, der alle bekannten DNS-Zoneninformationen in einer einzigen Abfrage zurückgibt.

Da das Antwortvolumen viel größer ist als die Anforderungen, kann der Angreifer das an die Zielsysteme gerichtete Datenverkehrsvolumen erhöhen. Laut CISA kann ein Angreifer durch die Verwendung von Botnets zur Generierung einer großen Anzahl maßgeschneiderter DNS-Abfragen ohne großen Aufwand einen enormen Netzwerkverkehr generieren.

Da es sich bei den Antworten um legitime Daten handelt, die von wichtigen Servern stammen, ist es laut der Agentur sehr schwierig, diese Art von Angriffen zu verhindern. Die häufigste Form dieses Angriffs, die das US-CERT beobachtet, sind DNS-Server, die so konfiguriert sind, dass sie eine uneingeschränkte rekursive Fehlerbehebung für jeden Client im Internet ermöglichen. CISA weist darauf hin, dass Angriffe auch auf vertrauenswürdige Nameserver abzielen können, die keine häufige Fehlerbehebung bieten.

DNS-Spoofing / Cache-Beschädigung

Mithilfe von DNS-Spoofing, auch bekannt als Cache-Korruption, nutzen Angreifer Schwachstellen in DNS-Servern aus, um sie zu kapern. Durch Ausnutzen von Cache-Korruption fügen Angreifer schädliche Daten in DNS-Resolver-Cache-Systeme ein, um Benutzer auf Websites umzuleiten, die den Angreifern gehören. Die Angreifer könnten dann persönliche Daten stehlen oder andere Informationen abfangen.

Wenn Angreifer die Kontrolle über den DNS-Server erlangen, können sie die Informationen im Cache ändern (das ist DNS-Poisoning). Der DNS-Cache-Korruptionscode wird häufig in URLs gefunden, die in Spam- oder Phishing-E-Mails gesendet werden. Diese Nachrichten versuchen, Benutzer auf ein Ereignis aufmerksam zu machen, das sofortige Aufmerksamkeit erfordert, was das Klicken auf eine von den Angreifern bereitgestellte URL erfordert.

DNS-Server können auf die Caches anderer DNS-Server zugreifen, und so verbreitet sich der Angriff weit und breit. Das Hauptrisiko bei der Beschädigung des DNS ist Datendiebstahl. Ein weiteres großes Risiko: Wenn die Website Ihres Internet-Sicherheitsanbieters manipuliert wird, kann Ihr Computer zusätzlichen Bedrohungen wie Viren oder Trojanern ausgesetzt werden, da legitime Sicherheitsupdates nicht durchgeführt werden.

DNS-Tunnel

Eine weitere gängige Methode, um DNS anzugreifen, und eine der ältesten, ist DNS-Tunneling. Diese Angriffe verwenden das DNS-Protokoll, um Malware und andere Daten in einem Client-Server-Modell zu übertragen. Diese Payloads können die Kontrolle über den DNS-Server übernehmen und es Angreifern ermöglichen, den Server und seine Anwendungen zu verwalten.

Ein Tunneling erstellt eine heimliche Verbindung zwischen dem Angreifer und dem Ziel – über einen DNS-Resolver – die die Firewall umgehen kann. Cyberkriminelle können den Tunnel für böswillige Aktivitäten wie Datendiebstahl nutzen.

DNS-Tunneling hängt in vielen Fällen von der externen Netzwerkverbindung des kompromittierten Systems ab, die den Zugriff auf den internen DNS-Server über den Netzwerkzugriff ermöglicht.

Fast Stream umgeht die Sicherheitsüberprüfung

Fast Flux ist eine DNS-Vermeidungstechnik, bei der Angreifer Botnetze verwenden, um ihre Phishing- und Malware-Aktivitäten vor Sicherheitsscannern zu verbergen, indem sie die sich ständig ändernden IP-Adressen kompromittierter Hosts verwenden, die als Reverse-Proxys für den Hauptserver des Bots fungieren.

Der Begriff „Fast Flow“ bezieht sich auch auf die Kombination von Peer-to-Peer-Netzwerken, Distributed Command and Control, Network Load Balancing und Proxy Forwarding, die verwendet werden, um ein Netzwerk von Malware gegen Entdeckung zu immunisieren.

Die Hauptidee hinter Fast Flux besteht darin, eine große Anzahl von IP-Adressen mit einem einzigen legitimen Domänennamen zu verknüpfen, da IP-Adressen häufig durch Ändern von DNS-Ressourceneinträgen ausgetauscht werden. Zertifizierte Fast-Flow-Domain-Nameserver werden meist von einem Cyberkriminellen gehostet.

DNS-Hijacking/-Umleitung

DNS-Hijacking (oder DNS-Umleitung) ist die Praxis, die Art und Weise zu untergraben, wie DNS-Abfragen aufgelöst werden. Cyberkriminelle tun dies, indem sie Malware verwenden, die die TCP/IP-Konfiguration eines Systems überschreibt, um auf einen bösartigen DNS-Server unter der Kontrolle des Angreifers zu verweisen, oder indem sie das Verhalten eines vertrauenswürdigen DNS-Servers ändern, um ihn mit Internetstandards inkompatibel zu machen. Bösewichte verwenden diese Mods für böswillige Zwecke wie Phishing.

Es gibt drei Hauptversionen von DNS-Hijacking:

Angreifer brechen in das Konto des Domain-Registrars ein und ändern den DNS-Nameserver in einen Server, den sie kontrollieren. Ändern des IP-Adressdatensatzes der Domain, sodass er auf die Adresse des Angreifers verweist

Angreifer dringen in den Router des Unternehmens ein und ändern den DNS-Server, der automatisch an jeden Computer gesendet wird, wenn sich Benutzer beim Netzwerk des Unternehmens anmelden.

So verhindern Sie DNS-Angriffe

Unternehmen können eine Reihe von Verfahren anwenden, um das Risiko von DNS-Angriffen zu verringern.

Hier sind einige empfohlene Praktiken:

Implementieren Sie eine stärkere Zugriffskontrolle

Unternehmen müssen sicherstellen, dass sie Maßnahmen ergreifen, um besser zu kontrollieren, wer auf das Netzwerk zugreifen kann. Eine Möglichkeit, dies zu tun, besteht darin, eine Multi-Faktor- oder Zwei-Faktor-Authentifizierung zu implementieren, um auf Ihr Online-Konto oder -System zuzugreifen. Dies erfordert, dass Benutzer mehr als eine Art von Informationen für den Zugriff angeben, z. B. ein Kennwort und eine ID.

Unternehmen sollten sicherstellen, dass die Multi-Faktor-Authentifizierung für alle Protokolle oder Protokollkonten aktiviert ist, damit Kennwörter nicht leicht zu erraten sind, sicher gespeichert und nicht dienstübergreifend wiederverwendet werden.

CISA empfiehlt Organisationen, ihre Passwörter für alle Konten auf Systemen, die wahrscheinlich Änderungen an DNS-Einträgen vornehmen werden, unverzüglich zu aktualisieren, einschließlich Konten in der verwalteten DNS-Serversoftware der Organisation, Systemen, die das Programm verwalten, Verwaltungspanels externer DNS-Betreiber und DNS-Registrarkonten.

Wenden Sie das Misstrauensprinzip an

Der misstrauische Umgang mit Sicherheit gewinnt an Dynamik, teilweise dank der verstärkten Unterstützung durch die US-Bundesregierung sowie der hybriden und Remote-Geschäftsmodelle, die viele Unternehmen hervorgebracht haben. Zero Trust kann eine wichtige Rolle bei der Reduzierung von DNS-Bedrohungen spielen.

Das Forschungsunternehmen Garner empfiehlt, dass Sicherheits- und Risikoverantwortliche zwei große Projekte zum Misstrauen in Netzwerken implementieren, um das Risiko zu verringern. Die erste ist die Implementierung des Zero Trust Network Access (ZTNA)-Systems, das Zugriffsmechanismen abstrahiert und zentralisiert, sodass Ingenieure und Sicherheitspersonal für sie verantwortlich sind.

Gewährt angemessenen Zugriff basierend auf der Identität von Benutzern und ihren Geräten und basierend auf anderen Faktoren wie Uhrzeit und Datum, geografischem Standort, historischen Nutzungsmustern und Gerätezustand. Das Ergebnis ist laut Gartner eine sicherere und widerstandsfähigere Umgebung mit erhöhter Flexibilität und verbesserter Überwachung.

Ein weiteres Projekt ist die identitätsbasierte Netzwerksegmentierung, von der Gartner glaubt, dass sie ein wirksames Mittel ist, um die Fähigkeit von Angreifern einzuschränken, sich im Netzwerk zurechtzufinden, sobald sie es einmal betreten haben.

Das Unternehmen sagte, die identitätsbasierte Fragmentierung reduziere ungerechtfertigtes implizites Vertrauen, indem sie es Organisationen ermögliche, einzelne Workloads auf ein „Standardverweigerungsmodell“ statt auf eine „implizite Erlaubnis“ zu verlagern. Es verwendet dynamische Regeln, die die Workload und die Anwendungsidentität als Teil der Entscheidung, ob der Netzwerkzugriff zugelassen wird oder nicht, bewerten.

Überprüfen und verifizieren Sie DNS-Einträge

CISA empfiehlt, dass Sie für alle Domains, die Ihr Unternehmen besitzt und verwaltet, alle öffentlichen Domain-Einträge bei Domain-Registraren überprüfen, um sicherzustellen, dass die zugehörigen Nameserver (NS)-Einträge für die entsprechenden DNS-Server autorisiert sind. Sie müssen alle DNS-Einträge auf allen vertrauenswürdigen und sekundären DNS-Servern überprüfen, um sicherzustellen, dass sie für ihren beabsichtigten Zweck aufgelöst werden.

Organisationen müssen alle gefundenen Inkonsistenzen sofort untersuchen und sie als potenziellen Sicherheitsvorfall behandeln. Diese Aktionen helfen dabei, aktive DNS-Hacks zu erkennen.

Quelle: Netzwelt