Palo Alto Networks nennt sechs praxisnahe Ansätze

Das Domain Name System, kurz DNS, ist das Protokoll, das menschenfreundliche URLs in maschinenfreundliche IP-Adressen übersetzt. Im Grunde ist es das Telefonbuch des Internets. Das macht DNS zu einer kritischen Komponente des Geschäftsbetriebs, die Firewalls passieren lassen müssen und Netzwerkbetreiber daran hindert, DNS-Datenverkehr zu blockieren. Infolgedessen ist es zu einem Hauptziel für Bedrohungsakteure geworden, die im Laufe der Jahre erfolgreich verschiedene DNS-basierte Angriffe gegen Unternehmensnetzwerke durchgeführt haben.

Angreifer nutzen DNS häufig, um Command and Control (C2) aufzubauen. Dies kann dazu führen, dass sie sich unbefugten Zugang zum Netzwerk verschaffen, sich seitlich bewegen oder Daten exfiltrieren. Da sich die Security weiterentwickelt hat, um den Missbrauch von DNS-Verkehr und C2 zu verhindern, haben sich auch die Taktiken und Techniken der Angreifer weiterentwickelt, wie Palo Alto Networks berichtet.

DNS-basierte Angriffe entwickeln sich weiter

Dies sind nur einige der ausgeklügelten Angriffe, die von Bedrohungsakteuren zur Ausnutzung von DNS eingesetzt werden:

• DNS-Tunneling: Angreifer nutzen den DNS-Resolver, um Anfragen an den C2-Server des Angreifers zu leiten, auf dem ein Tunneling-Programm installiert ist. Sobald die Verbindung zwischen dem Opfer und dem Angreifer über den DNS-Resolver hergestellt ist, kann der Tunnel genutzt werden, um Daten zu exfiltrieren oder andere bösartige Zwecke auszuführen.
• Domain Generation Algorithm (DGA): Angreifer entwickeln DGAs, damit Malware schnell eine Liste von Domains generieren kann, über die die Malware Anweisungen geben und Informationen empfangen kann. Angreifer verwenden DGAs oft, damit sie Domains, die sie für Malware-Angriffe verwenden, schnell wechseln können, da Sicherheitssoftware und Anbieter versuchen, bösartige Domains so schnell wie möglich zu blockieren und zu entfernen.
• Fast Flux: Angreifer richten mehrere IP-Adressen pro bösartigem Domain-Namen ein und ändern diese in schneller Folge, um IP-Kontrollen zu umgehen, was es für Bedrohungsjäger schwierig macht, ihre Standorte zu finden.
• Bösartige neu registrierte Domains (NRDs): Eine neu registrierte Domain ist jede Domain, die innerhalb des letzten Monats (genauer gesagt 33 Tage) registriert wurde. Angreifer erstellen oft leichte Variationen legitimer Domains, um Benutzer dazu zu verleiten, auf diese zu klicken. Die bösartigen NRDs sind in der Regel nur für einen kurzen Zeitraum aktiv, wodurch sie schwer zu erkennen sind.

DNS-Angriffe in der realen Welt

DNS-basierte Angriffe sind nicht neu, aber sie sind weit verbreitet. Unit 42 hat in letzter Zeit mehrere Fälle beobachtet, in denen Malware und die dahinterstehenden Bedrohungsakteure DNS missbraucht haben, um bösartige Ziele zu erreichen.

DNS-Tunneling-Angriffe in der realen Welt

OilRig, ein im Nahen Osten operierender Bedrohungsakteur, erstellte Tools mit eigenen DNS-Tunneling-Protokollen für C2. Der Bedrohungsakteur war in der Lage, dies nicht nur als Hauptkommunikationskanal zu nutzen, sondern auch als Fallback-Kanal, wenn die ursprünglich platzierte Kommunikation nicht korrekt funktionierte.

Unit 42 beobachtete auch xHunt, einen Bedrohungsakteur, der es mit einer Backdoor namens Snugy auf Regierungsorganisationen im Nahen Osten abgesehen hatte. Diese Backdoor nutzte DNS-Tunneling, um mit ihrem C2-Server zu kommunizieren, insbesondere durch DNS-A-Datensatz-Lookups, um benutzerdefinierte Subdomänen der vom Akteur kontrollierten C2-Domänen aufzulösen.

Einsatz von DGAs in der realen Welt

Ein bekanntes aktuelles Beispiel für die Verwendung von DGAs durch Angreifer ist die SUNBURST-Backdoor, die die Lieferkette von SolarWinds kompromittierte. SUNBURST verwendete DGAs, um der Entdeckung zu entgehen und grundlegende Systeminformationen wie den Domänennamen des Rechners, den Servernamen und andere Identifikatoren zu verschlüsseln. SUNBURST sendete Anfragen, um sich beim Angreifer anzumelden. Diese enthielten identifizierende Informationen, die dem Angreifer helfen sollten, zu entscheiden, ob er einen Angriff der zweiten Stufe starten wollte.

Fast Flux in der realen Welt

Unit 42 hat mehrere C2-Domänen gefunden, die mit der Smoke Loader-Malware-Familie in Verbindung stehen. Wenn diese Malware installiert ist, fungiert sie als Backdoor und ermöglicht es Angreifern, bösartige Nutzdaten von C2-Servern herunterzuladen, die von Ransomware über Informationsdiebstahl bis hin zu vielen anderen Dingen reichen. Die Forscher haben Domains beobachtet, die innerhalb von weniger als zwei Wochen zu fast 100 IP-Adressen aufgelöst wurden.

Beispiele für bösartige NRDs aus der realen Welt

Angreifer machten sich die Pandemie zunutze, indem sie eine Reihe von bösartigen NRDs erstellten, die sich als offizielle COVID-19-bezogene Ressourcen ausgaben. Der Fokus der Angreifer verschob sich je nach den aktuellen Ereignissen im Zusammenhang mit der Pandemie. In der Anfangsphase der Pandemie zielten die Angreifer auf Personen, die nach Nachrichten und Testkits zu COVID-19 suchten. Dann beobachtete Unit 42 eine Verschiebung hin zu vermeintlich regierungsbezogenen NRDs, die sich als Anwendungen für Hilfsprogramme ausgaben, um Benutzer zur Angabe privater Informationen zu verleiten. Jetzt ändert sich der Fokus erneut, wobei Bedrohungsakteure scheinbar impfstoffbezogene Domains registrieren.

DNS-Angriffe leichtgemacht

DNS ist eine perfekte Wahl für Angreifer, die ein immer offenes, oft übersehenes Protokoll suchen, das sie für C2-Kommunikation und die Kompromittierung von Hosts nutzen können. Es ist anzumerken, dass DNS-bezogene Techniken nicht nur bei diesen ausgeklügelten Angriffen zu beobachten sind. Es gibt eine Reihe kostenloser, einfach zu bedienender Tools, die selbst einem unerfahrenen Angreifer helfen können, eine bösartige Operation unter Ausnutzung von DNS durchzuführen. Auf diese Weise können selbst ungeschulte Angreifer DNS nutzen, um z. B. ihre C2-Kommunikation zu verschleiern. Commodity-Tools wie diese erhöhen das schiere Volumen von Angriffen, die in freier Wildbahn stattfinden.

Was DNS-Sicherheit jetzt braucht

Heutige Sicherheitsteams konzentrieren sich oft auf Web-Protokolle statt auf die Sicherheit der DNS-Schicht. Da 80 Prozent der Malware DNS nutzt, um C2 zu etablieren, ist es zwingend erforderlich, dass Unternehmen ihren DNS-Verkehr überwachen und analysieren. Um dies zu erreichen, sollten Sicherheitslösungen in der Lage sein

• DNS-Verkehr inline inspizieren: Es müssen nicht nur DNS-Verkehrspakete analysiert werden, dies muss selbstverständlich in Leitungsgeschwindigkeit geschehen.
• Maschinelles Lernen nutzen: Es ist Automatisierung nötig, um automatisierte Angriffe zu schlagen. Der Einsatz von Algorithmen ist erforderlich, um DNS-basierte Bedrohungen zu analysieren, zu erkennen und sogar vorherzusagen, bevor sie auftreten.
• Skalieren: Einfache statische Signaturen stoppen bekannte bösartige Domains, schützen aber nicht vor fortgeschrittenen DNS-Bedrohungen. Erforderlich ist eine cloudbasierte Lösung, die die Abdeckung auf dem neuesten Stand hält.
• Hochwertige Daten: Maschinelles Lernen ist nur so gut wie die Daten, die es trainiert. Die Verwendung großer Mengen an realen Bedrohungsdaten ist der Schlüssel, um Angriffe zu erkennen und eine niedrige False-Positive-Rate zu erreichen.
• Schutz vor spezifischen Angriffstechniken: Fortgeschrittene, hartnäckige Bedrohungsakteure nutzen Techniken wie DGA, DNS-Tunneling und Fast-Flux, um Ihre Sicherheitskontrollen zu umgehen. Diese Techniken entwickeln sich ständig weiter und Ihre Sicherheitslösung muss damit Schritt halten.
• Zugang zu umfangreichem Kontext: Um DNS-Sicherheitsereignisse schnell zu beheben und die Sicherheitslage proaktiv zu optimieren, müssen Unternehmen vollen Einblick in ihren DNS-Verkehr und den Kontext haben.