Schleichweg ins Netzwerk

Datenklau durch unbemerkte DNS-Tunnel

Rainer Singer arbeitet seit 2007 für Infoblox. Als Systems Engineering Manager CEUR verantwortet er den technischen Bereich. Die Betreuung und der Ausbau des Teams von Systems Engineers in DACH, Osteuropa und den CIS-Staaten fallen in sein Verantwortungsgebiet. Der Diplom Ingenieur verfügt über langjährige Erfahrung im Systems- und Security-Engineering-Bereich und war zuvor unter anderem bei F5 Networks als Systems Engineer und bei Integralis als Technical Consultant tätig.
Cyberkriminelle nutzen DNS-Tunnel, um Firmennetzwerke zu infiltrieren. Wir zeigen, wie Sie sich schützen können.

Das Thema DNS-Sicherheit ist in letzter Zeit stärker in den Fokus gerückt, nicht zuletzt nach dem großangelegten DDoS-Angriffs (Distributed Denial of Service) auf den DNS-Provider Dyn im Oktober 2016. Der Angriff, der per Mirai-Botnet über mehrere Millionen Endpunkte erfolgte, legte zeitweise eine Vielzahl von Websites und Cloud-Services von Dyn-Kunden wie zum Beispiel Twitter, Netflix und Amazon lahm. Der Vorfall zeigte die Anfälligkeit des "Internet-Adressbuchs" für DDoS. Was er nicht zeigte: dass über das DNS nicht nur der Datenverkehr lahmgelegt werden kann, sondern auch still und heimlich Daten abfließen können.

Über 90 Prozent aller Malware-Kommunikation findet über das Domain Name System (DNS) statt. DNS-Sicherheits-Checks fanden in über 80 Prozent der Fälle von Kunden bislang nicht bemerkte Malware und bis dato unerkannte DNS-Tunnel. Außerdem entstehen quasi täglich neue Schadprogrammtypen. Eine aktuelle Studie ergab eine Anzahl von 6,8 Millionen neuer Malwaretypen im Jahr 2016. Inzwischen gibt es fast täglich ein neues Leak, egal ob Apple, medizinische Daten der Welt-Anti-Doping-Agentur oder das Panama Paper Leak.

Wie gelangen vertrauliche Unterlagen ins Netz?

Eine beliebte Methode, um Daten und Dokumente abzugreifen ist das sogenannte DNS Tunneling. Hierbei nutzen Angreifer DNS-Anfragen, um andere Protokolle - etwa HTTP, FTP oder SMTP - verschlüsselt über das DNS zu transportieren. Der Angreifer baut im Prinzip ein VPN auf, nur dass er als Übertragungsprotokoll das DNS benutzt, um den VPN-Aufbau zu verschleiern.

DNS Tunneling hilft Angreifern Netzwerkbeschränkungen zu umgehen.
DNS Tunneling hilft Angreifern Netzwerkbeschränkungen zu umgehen.
Foto: SvedOliver - shutterstock.com
Identity & Access Management

Identity & Access Management

Verwunderlich ist, dass dies nach wie vor so häufig funktioniert. Denn das Prinzip "VPN over DNS" ist alles andere als neu: Schon in den 1990er-Jahren nutzten Hacker das Verfahren, um Netzwerkbeschränkungen zu umgehen. Ein klassisches Beispiel: Bei einem Hotelaufenthalt wird man vom Browser zu einer "Begrüßungsseite" geleitet und aufgefordert pro Stunde für die Internet-Nutzung zu zahlen. Der gewiefte IT-Anwender baute sich einfach einen DNS-Tunnel zu seinem heimischen Name-Server und surft so kostenfrei durch das weltweite Web. Das Einrichten dieses eleganten Umwegs erwies sich für experimentierfreudige Hotelgäste schnell als Kinderspiel, denn hilfreiche Software-Toolkits wie Iodine standen im Netz zum Download bereit. Und dort findet man sie nach wie vor zusammen mit vielen weiteren Werkzeugen wie OzymanDNS oder DNS2TCP.

VPN over DNS

Und was schon für IT-Anwender ein Kinderspiel ist, stellt für Cyberkriminelle mit hervorragender Ausstattung überhaupt keine Herausforderung dar. Hat ein Angreifer sein DNS-basiertes VPN einmal etabliert, stehen ihm alle Möglichkeiten eines privaten Tunnels offen: Er kann per FTP den Code für Remote Access Trojans (RATs) ins Unternehmensnetz einschleusen oder den Tunnel für die Datenexfiltration aus dem Unternehmen verwenden - und dies in der Regel alles, ohne sich über Firewall-Regeln, IDS/IPS-Signaturen oder verhaltensbasiertes Netzwerk-Monitoring Gedanken machen zu müssen.

Sehr gut eignet sich dieser kreative Einsatz von DNS für gezielte, von langer Hand geplante Angriffe auf Unternehmen (Advanced Persistent Threats, kurz APTs). Bei einem APT wollen die Cyberkriminellen nicht einfach irgendein Netzwerk kompromittieren. Sie haben ein konkretes Ziel vor Augen, zum Beispiel die Konstruktionspläne oder die Produkt-Roadmap eines produzierenden Unternehmens. Sind die gewünschten Daten einmal aufgestöbert, kann der Angreifer sie in aller Ruhe exfiltrieren - "low and slow" ("leise und langsam") oder "slow drip" (langsames Tröpfeln). So entstehen nicht einmal Lastspitzen im Netzwerkverkehr, die einer Netzwerk-Monitoring-Lösung auffallen könnten.

Unter dem Radar der Firewalls

Dieser getarnte Kommunikationskanal, der als harmlose DNS Anfrage in Erscheinung tritt, bleibt meist "unter dem Radar" vieler Firewalls - und übrigens auch vieler Next Generation Firewalls (NGFWs), Intrusion-Detection- und Intrution-Prevention-Lösungen (IDS/IPS) sowie Data Leak Prevention (DLP): Zahlreiche Sicherheitslösungen haben DNS als Angriffsvektor nur sehr oberflächlich oder schlimmstenfalls gar nicht im Blick. Während sich HTTP als mit vielen Schlössern gesichertes, fest verrammeltes und rund um die Uhr bewachtes Tor zeigt, ist DNS die vernachlässigte Hintertür, durch die nicht nur Nachbars Katze jederzeit problemlos ins Haus gelangt. Diesen eklatanten Missstand gilt es, möglichst umgehend zu beseitigen. Die benötigten Werkzeuge dafür sind längst vorhanden. Sie unterteilen sich in die drei Bereiche Erkennung, Alarmierung und Vermeidung, umgesetzt in den beiden reaktiven Lösungsgattungen DNS Firewalls und DNS Monitoring Tools sowie in moderneren Lösungen für den aktiven Schutz der DNS-Infrastruktur.

Inhalt dieses Artikels