Auf der RSA-Konferenz 2019 berichteten die Forscher des SANS-Instituts von mehreren neuen Angriffsarten, die sie als \u00e4u\u00dferst gef\u00e4hrlich einstufen.<\/p>\n
Eine Angriffsart, die SANS-Ausbilder Ed Skoudis bei seinem Vortrag hervorgehoben hat und auf die wir in diesem Beitrag genauer eingehen m\u00f6chten, kann potenziell dazu verwendet werden, die vollst\u00e4ndige Kontrolle \u00fcber die IT-Infrastruktur eines Unternehmens zu \u00fcbernehmen \u2013 ohne die Notwendigkeit komplexer Tools und lediglich mithilfe relativ simpler DNS-Manipulationen.<\/p>\n
Der Angriff funktioniert wie folgt:<\/p>\n
Danach k\u00f6nnen die Angreifer den f\u00fcr die Server des Zielunternehmens bestimmten Datenverkehr auf ihre eigenen Computer umleiten. Folglich werden die Besucher der Firmenwebsite auf Fake-Websites<\/strong> weitergeleitet, die auf jegliche Filter und Schutzsysteme authentisch wirken. Wir sind zum ersten Mal im Jahr 2016 auf dieses Szenario getroffen, als Forscher unserer brasilianischen GReAT-Zweigstelle einen Angriff entdeckten, der es Eindringlingen erm\u00f6glichte, die Infrastruktur einer gro\u00dfen Bank zu hijacken<\/a>.<\/p>\n Besonders gef\u00e4hrlich bei diesem Angriff ist, dass das jeweilige Zielobjekt den Kontakt zur Au\u00dfenwelt verliert. Mails<\/strong> und Telefone (eine Vielzahl der Unternehmen verwendet IP-Telefonie) werden gehijackt<\/strong>; dies\u00a0macht sowohl die interne Reaktion auf den Vorfall als auch die Kommunikation mit externen Organisationen \u2013 DNS-Anbietern, Zertifizierungsstellen, Strafverfolgungsbeh\u00f6rden usw. \u2013 um einiges komplizierter. Und jetzt stellen Sie sich vor, all das passiert ausgerechnet an einem Wochenende, wie im Fall der brasilianischen Bank!<\/p>\n Was 2016 eine Innovation in der Cybercrime<\/strong>-Welt war, wurde einige Jahre sp\u00e4ter zur g\u00e4ngigen Praxis. Bis 2018 protokollierten die IT-Sicherheitsexperten zahlreicher f\u00fchrender Unternehmen die Nutzung dieser Angriffsart. Es handelt sich also nicht um eine lapidare Bedrohung, sondern um eine sehr spezifische Attacke, die dazu f\u00fchren k\u00f6nnte, dass Ihre IT-Infrastruktur vollst\u00e4ndig beschlagnahmt wird.<\/p>\n Ed Skoudis zufolge sollten einige Dinge unternommen werden, um sich vor Versuchen, die Infrastruktur von Domainnamen zu manipulieren, zu sch\u00fctzen:<\/p>\n \u2013 Verwenden Sie die Multifaktor-Authentifizierung<\/strong> in IT-Infrastrukturverwaltungstools;<\/p>\n \u2013 Verwenden Sie DNSSEC;<\/p>\n \u2013 Behalten Sie alle DNS-\u00c4nderungen, die Auswirkungen auf die Domainnamen Ihres Unternehmens haben k\u00f6nnten, im Auge. Eine M\u00f6glichkeit ist die Verwendung der Website SecurityTrails, die bis zu 50 kostenlose Anfragen pro Monat erm\u00f6glicht;<\/p>\n \u2013 Verfolgen Sie Ihre noch g\u00fcltigen Zertifikate und senden Sie im Notfall Anfragen, um diese sofort zu widerrufen. Einzelheiten dazu finden Sie im Beitrag: MitM- und DoS-Angriffe auf Domains: So werden Ihnen noch g\u00fcltige Zertifikate zum Verh\u00e4ngnis.<\/a><\/p>\nSo beugen Sie dem Hijacking von IT-Infrastrukturen durch DNS-Manipulation vor<\/h2>\n