RSAC 2019: Grand Theft DNS

3 Apr 2019

Auf der RSA-Konferenz 2019 berichteten die Forscher des SANS-Instituts von mehreren neuen Angriffsarten, die sie als äußerst gefährlich einstufen.

Eine Angriffsart, die SANS-Ausbilder Ed Skoudis bei seinem Vortrag hervorgehoben hat und auf die wir in diesem Beitrag genauer eingehen möchten, kann potenziell dazu verwendet werden, die vollständige Kontrolle über die IT-Infrastruktur eines Unternehmens zu übernehmen – ohne die Notwendigkeit komplexer Tools und lediglich mithilfe relativ simpler DNS-Manipulationen.

Manipulation der DNS-Unternehmensinfrastruktur

Der Angriff funktioniert wie folgt:

  1. Cyberkriminelle sammeln Benutzername- und Passwort-Kombinationen für kompromittierte Konten, von denen es alleine in bekannten Datenbanken, wie Collection #1, derzeit Hunderte von Millionen gibt, wenn nicht sogar Milliarden.
  2. Sie verwenden diese Anmeldeinformationen, um sich bei den Diensten von DNS-Anbietern und Domain-Registrierungsstellen anzumelden.
  3. Danach modifizieren die Eindringlinge die DNS-Einträge und ersetzen die Infrastruktur der Unternehmensdomain durch ihre eigene.
  4. Insbesondere modifizieren sie den MX-Record und fangen Nachrichten ab, indem Sie alle Unternehmens-E-Mails auf ihre eigenen Mail-Server umleiten.
  5. Dann registrieren die Cyberkriminellen TLS-Zertifikate für die gestohlenen Domains. Gegenwärtig sind sie bereits dazu in der Lage, Unternehmensmails abzufangen und einen Nachweis über den Domain-Besitz zu erbringen, der in den meisten Fällen für die Ausstellung eines Zertifikats ausreicht.

Danach können die Angreifer den für die Server des Zielunternehmens bestimmten Datenverkehr auf ihre eigenen Computer umleiten. Folglich werden die Besucher der Firmenwebsite auf Fake-Websites weitergeleitet, die auf jegliche Filter und Schutzsysteme authentisch wirken. Wir sind zum ersten Mal im Jahr 2016 auf dieses Szenario getroffen, als Forscher unserer brasilianischen GReAT-Zweigstelle einen Angriff entdeckten, der es Eindringlingen ermöglichte, die Infrastruktur einer großen Bank zu hijacken.

Besonders gefährlich bei diesem Angriff ist, dass das jeweilige Zielobjekt den Kontakt zur Außenwelt verliert. Mails und Telefone (eine Vielzahl der Unternehmen verwendet IP-Telefonie) werden gehijackt; dies macht sowohl die interne Reaktion auf den Vorfall als auch die Kommunikation mit externen Organisationen – DNS-Anbietern, Zertifizierungsstellen, Strafverfolgungsbehörden usw. – um einiges komplizierter. Und jetzt stellen Sie sich vor, all das passiert ausgerechnet an einem Wochenende, wie im Fall der brasilianischen Bank!

So beugen Sie dem Hijacking von IT-Infrastrukturen durch DNS-Manipulation vor

Was 2016 eine Innovation in der Cybercrime-Welt war, wurde einige Jahre später zur gängigen Praxis. Bis 2018 protokollierten die IT-Sicherheitsexperten zahlreicher führender Unternehmen die Nutzung dieser Angriffsart. Es handelt sich also nicht um eine lapidare Bedrohung, sondern um eine sehr spezifische Attacke, die dazu führen könnte, dass Ihre IT-Infrastruktur vollständig beschlagnahmt wird.

Ed Skoudis zufolge sollten einige Dinge unternommen werden, um sich vor Versuchen, die Infrastruktur von Domainnamen zu manipulieren, zu schützen:

– Verwenden Sie die Multifaktor-Authentifizierung in IT-Infrastrukturverwaltungstools;

– Verwenden Sie DNSSEC;

– Behalten Sie alle DNS-Änderungen, die Auswirkungen auf die Domainnamen Ihres Unternehmens haben könnten, im Auge. Eine Möglichkeit ist die Verwendung der Website SecurityTrails, die bis zu 50 kostenlose Anfragen pro Monat ermöglicht;

– Verfolgen Sie Ihre noch gültigen Zertifikate und senden Sie im Notfall Anfragen, um diese sofort zu widerrufen. Einzelheiten dazu finden Sie im Beitrag: MitM- und DoS-Angriffe auf Domains: So werden Ihnen noch gültige Zertifikate zum Verhängnis.

Wir können Ihnen nur einen weiteren Tipp mit auf den Weg geben: verwenden Sie sichere Passwörter. Sie sollten komplex genug sein, um einem Wörterbuchangriff standzuhalten. Um Passwörter zu generieren und sicher zu speichern, können Sie unseren Kaspersky Password Manager verwenden; ein Bestandteil unserer Lösung Kaspersky Small Office Security.