Das Thema DNS-Sicherheit ist in letzter Zeit stärker in den Fokus gerückt, nicht zuletzt nach dem großangelegten DDoS-Angriffs (Distributed Denial of Service) auf den DNS-Provider Dyn im Oktober 2016. Der Angriff, der per Mirai-Botnet über mehrere Millionen Endpunkte erfolgte, legte zeitweise eine Vielzahl von Websites und Cloud-Services von Dyn-Kunden wie zum Beispiel Twitter, Netflix und Amazon lahm. Der Vorfall zeigte die Anfälligkeit des "Internet-Adressbuchs" für DDoS. Was er nicht zeigte: dass über das DNS nicht nur der Datenverkehr lahmgelegt werden kann, sondern auch still und heimlich Daten abfließen können.
Über 90 Prozent aller Malware-Kommunikation findet über das Domain Name System (DNS) statt. DNS-Sicherheits-Checks fanden in über 80 Prozent der Fälle von Kunden bislang nicht bemerkte Malware und bis dato unerkannte DNS-Tunnel. Außerdem entstehen quasi täglich neue Schadprogrammtypen. Eine aktuelle Studie ergab eine Anzahl von 6,8 Millionen neuer Malwaretypen im Jahr 2016. Inzwischen gibt es fast täglich ein neues Leak, egal ob Apple, medizinische Daten der Welt-Anti-Doping-Agentur oder das Panama Paper Leak.
Wie gelangen vertrauliche Unterlagen ins Netz?
Eine beliebte Methode, um Daten und Dokumente abzugreifen ist das sogenannte DNS Tunneling. Hierbei nutzen Angreifer DNS-Anfragen, um andere Protokolle - etwa HTTP, FTP oder SMTP - verschlüsselt über das DNS zu transportieren. Der Angreifer baut im Prinzip ein VPN auf, nur dass er als Übertragungsprotokoll das DNS benutzt, um den VPN-Aufbau zu verschleiern.
Foto: SvedOliver - shutterstock.com
Verwunderlich ist, dass dies nach wie vor so häufig funktioniert. Denn das Prinzip "VPN over DNS" ist alles andere als neu: Schon in den 1990er-Jahren nutzten Hacker das Verfahren, um Netzwerkbeschränkungen zu umgehen. Ein klassisches Beispiel: Bei einem Hotelaufenthalt wird man vom Browser zu einer "Begrüßungsseite" geleitet und aufgefordert pro Stunde für die Internet-Nutzung zu zahlen. Der gewiefte IT-Anwender baute sich einfach einen DNS-Tunnel zu seinem heimischen Name-Server und surft so kostenfrei durch das weltweite Web. Das Einrichten dieses eleganten Umwegs erwies sich für experimentierfreudige Hotelgäste schnell als Kinderspiel, denn hilfreiche Software-Toolkits wie Iodine standen im Netz zum Download bereit. Und dort findet man sie nach wie vor zusammen mit vielen weiteren Werkzeugen wie OzymanDNS oder DNS2TCP.
VPN over DNS
Und was schon für IT-Anwender ein Kinderspiel ist, stellt für Cyberkriminelle mit hervorragender Ausstattung überhaupt keine Herausforderung dar. Hat ein Angreifer sein DNS-basiertes VPN einmal etabliert, stehen ihm alle Möglichkeiten eines privaten Tunnels offen: Er kann per FTP den Code für Remote Access Trojans (RATs) ins Unternehmensnetz einschleusen oder den Tunnel für die Datenexfiltration aus dem Unternehmen verwenden - und dies in der Regel alles, ohne sich über Firewall-Regeln, IDS/IPS-Signaturen oder verhaltensbasiertes Netzwerk-Monitoring Gedanken machen zu müssen.
Sehr gut eignet sich dieser kreative Einsatz von DNS für gezielte, von langer Hand geplante Angriffe auf Unternehmen (Advanced Persistent Threats, kurz APTs). Bei einem APT wollen die Cyberkriminellen nicht einfach irgendein Netzwerk kompromittieren. Sie haben ein konkretes Ziel vor Augen, zum Beispiel die Konstruktionspläne oder die Produkt-Roadmap eines produzierenden Unternehmens. Sind die gewünschten Daten einmal aufgestöbert, kann der Angreifer sie in aller Ruhe exfiltrieren - "low and slow" ("leise und langsam") oder "slow drip" (langsames Tröpfeln). So entstehen nicht einmal Lastspitzen im Netzwerkverkehr, die einer Netzwerk-Monitoring-Lösung auffallen könnten.
Unter dem Radar der Firewalls
Dieser getarnte Kommunikationskanal, der als harmlose DNS Anfrage in Erscheinung tritt, bleibt meist "unter dem Radar" vieler Firewalls - und übrigens auch vieler Next Generation Firewalls (NGFWs), Intrusion-Detection- und Intrution-Prevention-Lösungen (IDS/IPS) sowie Data Leak Prevention (DLP): Zahlreiche Sicherheitslösungen haben DNS als Angriffsvektor nur sehr oberflächlich oder schlimmstenfalls gar nicht im Blick. Während sich HTTP als mit vielen Schlössern gesichertes, fest verrammeltes und rund um die Uhr bewachtes Tor zeigt, ist DNS die vernachlässigte Hintertür, durch die nicht nur Nachbars Katze jederzeit problemlos ins Haus gelangt. Diesen eklatanten Missstand gilt es, möglichst umgehend zu beseitigen. Die benötigten Werkzeuge dafür sind längst vorhanden. Sie unterteilen sich in die drei Bereiche Erkennung, Alarmierung und Vermeidung, umgesetzt in den beiden reaktiven Lösungsgattungen DNS Firewalls und DNS Monitoring Tools sowie in moderneren Lösungen für den aktiven Schutz der DNS-Infrastruktur.
DNS Firewall und Threat Intelligence Feed
Die Grundlage des DNS-Schutzes liefert eine eigene DNS Firewall. Sie funktioniert nach dem gleichen Prinzip, das man von Spamfiltern her kennt: Sie kombiniert Blacklists mit einem Reputationsfilter für bekannte malicious Domains. Nimmt ein Endgerät mit einer gelisteten oder verdächtigen Domain Kontakt auf, kann die DNS Firewall den Datenverkehr stoppen und das Security-Team oder SIEM-System informieren. DNS Firewalls können mittels Reputationsfilter auch den verschlüsselten Datenverkehr von TOR Exit Nodes filtern. Besser ist es noch, wenn mit Machine Learning die Anwesenheit von Daten in DNS-Anfragen erkannt wird - und dafür gibt es einige Muster wie Entropie, lexikalischer Analyse oder die Menge verschlüsselter Daten. Anwender sollten auch darauf achten, dass der DNS-Firewall-Hersteller über einen leistungsfähigen Mechanismus zur Aktualisierung der Bedrohungsinformationen (Threat Intelligence Feed) verfügt und auch externe Feeds einbinden kann. Denn neue Domänen sind im Handumdrehen eingerichtet.
Über die DNS-Firewall hinaus braucht man eine laufende Überwachung des DNS-Datenverkehrs. Sie kann bei DNS-Anfragen Alarm schlagen, die - wie das Beispiel oben - auffällig lange Subdomains oder Domainnamen beinhalten. Da echte Anfragen nach unbekannten Domains meist durch die Endanwender selbst initiiert sind, helfen auch Alerts bei neuen DNS-Anfragen, die zu ungewöhnlichen Zeiten - etwa außerhalb der Geschäftszeiten - stattfinden.
DNS Tunnel werden nicht nur von Angreifern genutzt
Leider erschweren einige Faktoren das DNS Monitoring. So gibt es zum Beispiel zahlreiche legitime Lösungen, die über DNS Tunnel kommunizieren: Manch ein WLAN-Router oder Kabelmodem, manch eine Antiviren- oder Host-IDS-Lösung bezieht ihre eigenen Threat Intelligence-Informationen oder Updates über einen DNS Tunnel. Auch aus anderen Gründen ist es in den letzten Jahren immer schwieriger geworden, normale DNS-Anfragen von bösartigen zu unterscheiden. Denn mit der Einführung von IPv6, DNSsec (DNS Security Extensions), DKIM (DomainKeys Identified Mail) und anderen DNS-Erweiterungen hat inzwischen auch der legitime DNS-Verkehr an Volumen und Komplexität zugenommen. "Lange, kryptische Zahlenkombination" heißt längst nicht immer "Malware"; zudem fließen DNS-Daten heute nicht mehr nur über UDP, sondern auch über TCP (früher ein Indiz für einen Tunneling-Versuch). Angreifern fällt es dadurch leichter, ihren Datenklau zwischen dem alltäglichem DNS-Datenverkehr zu verstecken.
Mehr Schutz ist gefragt
Vor diesem Hintergrund hat sich eine neue Generation von Lösungen zur Abwehr von DNS-basierten Angriffen herausgebildet. Diese DNS Infrastructur Protection Lösungen vereinen DNS-Firewalling und DNS-Monitoring mit ausgefeilten Analysemechanismen wie DNS Deep Packet Inspection und mit automatisierten Maßnahmen, um DNS-Missbrauch möglichst schnell und effektiv zu unterbinden. Die Analysealgorithmen moderner DNS-Schutzlösungen suchen im Verkehr auf Port 53 zum Beispiel nach auffällig langen Subdomain-Namen mit hoher Entropie (Informationsdichte), was auf verschlüsselte Inhalte hindeutet. Den daraus errechneten Indexwert korrelieren sie mit zeit- oder verhaltensbasierten Hinweisen auf auffällige DNS-Nutzung, also zum Beispiel Anfragen nach nicht im Cache befindlichen Hostnamen zu statistisch auffälligen Zeiten. Sie adaptieren damit die aus dem HTTP-Umfeld bekannten Mechanismen einer intelligenten Verhaltensanalyse für den DNS-Datenverkehr - ergänzt um globale Threat Intelligence Feeds über die laufenden Veränderungen auf Angreiferseite.
So lange der geheime Weg in das Netzwerk nicht geschlossen und kontrolliert wird, sind weitere Leaks auf der Tagesordnung. Security-Verantwortliche sollten unbedingt umdenken und nicht nur ihre Haustür mit allen verfügbaren Mitteln schützen, verstärken und bewachen, sondern auch die Hintertür, das DNS - welches bisher oft nicht einmal verriegelt war.