DNS-Hijacking Welche Lehren IT-Verantwortliche aus jüngsten Cyberangriffen ziehen sollten

„Sea Turtle“ hieß der jüngste DNS-Angriff auf hochrangige Ziele und Organisationen im Nahen Osten und Nordafrika. Insgesamt sollen über 50 Organisationen und Unternehmen in zwölf Ländern betroffen gewesen sein.

29.05.2019

Domain- und DNS-Hijacking sind zwar keine neuen Bedrohungen, die Wirksamkeit und Raffinesse jüngster Angriffswellen rücken das Thema jedoch in den Fokus. So gelang es Angreifern im Nahen Osten, den IP-Verkehr zahlreicher Nutzer auf eigene Server umzuleiten und Passwörter abzugreifen. Welche Lehren sollten IT-Verantwortliche deutscher Unternehmen aus den jüngsten Attacken ziehen und wie laufen diese Attacken aus technischer Sicht ab?

Bei DNS-Angriffen sind Kriminelle in der Lage, den Datenverkehr von legalen Websites auf eigene, betrügerische Websites umzuleiten. Im zweiten Schritt werden dann sensible Informationen und Zugangsdaten mittels präparierter Phishing-Websites abgegriffen.

Diese gleichen dem Original optisch fast vollständig. Sowohl für Website-Besucher als auch für betroffene Organisationen sind die neuesten Formen dieser Angriffsmethode nur schwer zu erkennen. Im Falle der aktuellen Attacke, die von Cisco Talos entdeckt und „Sea Turtle“ getauft wurde, waren hochrangige Ziele und staatliche Organisationen aus Nordafrika und dem Nahen Osten betroffen.

Ablauf des DNS-Hijackings

Eine neue Qualität hat Sea Turtle, weil das DNS-Hijacking erstmals auf DNS-Registrarebene erfolgte und dabei Verwaltungsorganisationen länderspezifischer Top-Level-Domains aggressiv angegriffen wurden. Hierbei wurden sogenannte Man-in-the-Middle-Zertifikate genutzt.

Zudem verfügten die Angreifer offensichtlich über ausgeprägtes Wissen darüber, wie Internetfunktionen manipuliert werden können, da ein spezielles Protokoll (EPP) zum Austausch von Domain-Informationen zwischen Domain-Registrant und Domain-Registrar verwendet wurde. Zugang zu den Registrar-Netzwerken erhielten sie durch Spear-Phishing-E-Mails und das Ausnutzen bekannter Schwachstellen.

Dann entwendeten die Angreifer legitime SSL-Zertifikate und änderten die DNS-Zertifikate der betroffenen Organisationen. Hierdurch wurden sämtliche Besucher auf bösartige DNS-Server umgeleitet. Wurden Zugangsdaten dieser Art einmal entwendet, sind unberechtigte Zugriffe praktisch nicht mehr zu verhindern, bis die Zugänge gesperrt werden. Doch welche Schlussfolgerung ergibt sich hieraus für IT-Verantwortliche in deutschen Unternehmen?

DNS-Security muss mehrere Maßnahmen umfassen

Um Domain- und DNS-Hijacking vorzubeugen, sind mehrere Maßnahmen erforderlich. Die Basis ist Registry-Lock. Entsprechende Services blockieren Änderungen an DNS-Einträgen solange, bis eine Bestätigung über einen separaten Kommunikationskanal stattfindet. Wird vom DNS-Registrar kein Registry-Lock-Service angeboten, sollte zumindest eine Mehr-Faktor-Authentifizierung eingesetzt werden, um DNS-Einträge abzusichern. Selbstverständlich sollten die Systeme zudem stets dem aktuellen Patch-Stand entsprechen.

DNS-Administratoren sei zudem der Einsatz eines Monitoring-Systems empfohlen. Dieses sollte bei Änderungen an wichtigen DNS-Records (zum Beispiel A- oder MX-Records) Alarm schlagen. Noch sicherer ist es, wenn Alarme bei Änderungen der NS-Records, des SOA-Records oder der DNSKEY-Records ausgelöst werden.

Die Internet Corporation for Assigned Names and Numbers (ICANN) rückt im Zusammenhang mit Sea Turtle zudem DNSSEC in den Fokus. Es handelt sich hierbei um mehrere Standards, mit dem das DNS um Sicherheitsfunktionen zur Gewährleistung von Datenintegrität und -authentizität erweitert wird. Mittels digitaler Signatur sichert DNSSEC die DNS-Informationen ab.

Zudem sollten für sämtliche Anfragen validierende Resolver genutzt werden. Diese können den Zusammenhang prüfen, wenn angesteuerte Domains signiert sind. Einfache Umleitungen sind somit nicht möglich und Angriffe laufen ins Leere.

Erfolgreiche Domain-Entführung kaum erkennbar

War ein Angreifer mit dem Domain-Hijacking erfolgreich, lässt sich dies nur schwer erkennen. Browser und Mail-Client verbinden sich mit dem präparierten Server, ohne sich hierbei auffällig zu verhalten. Mit „neuen“ Man-in-the-Middle-Zertifikaten, ausgestellt bei einer anderen Zertifizierungsstelle, werden sogar Zertifikatsprüfungen ausgehebelt.

Abhilfe kann an dieser Stelle das sogenannte Zertifikat-Pinning schaffen. Clients speichern hierbei den öffentlichen Schlüssel von Zertifikaten in einer Liste und gleichen diese beim Verbindungsaufbau ab. Schlägt die Validierung eines Server-Zertifikats fehl, wird keine verschlüsselte Verbindung aufgebaut. Allerdings gilt das Verfahren als komplex und problembehaftet, weshalb Google die Unterstützung im eigenen Browser Chrome mittlerweile wieder entfernte.

Unabhängig davon gilt: Wer vermutet, von einem Angriff betroffen zu sein, sollte sämtliche Passwörter im Netzwerk zurücksetzen. Dies geschieht am besten von einem Rechner innerhalb eines vertrauenswürdigen Netzwerks.

Absicherung dringend erforderlich

Sea Turtle zeigt, dass Angriffe auf DNS-Infrastrukturen ein besorgniserregendes Ausmaß angenommen haben. Doch nicht nur in staatlichen Organisationen, sondern auch in zahlreichen Unternehmen ist das DNS von hoher Bedeutung und gleichzeitig ein neuralgischer Punkt. Sind Angreifer erfolgreich, drohen massive Schäden durch die Veröffentlichung sensibler Daten oder den Ausfall von Webseiten oder weiteren Services.

Noch gravierender sind die damit einhergehenden Kosten und Imageschäden. Unternehmen müssen sich daher der Verwundbarkeit des DNS bewusst werden und stärker in den Schutz ihrer DNS-Infrastruktur investieren.

Firmen zu diesem Artikel
Verwandte Artikel