:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/f7/90f77fbb7d45ab622971a24ea53da577/0111572690.jpeg "Kritische Informationen können über Schwachstellen in der Open Time Series Database abfließen. (Bild: <a href=https://pixabay.com/de/users/moritz320-1260270/>moritz320</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/42/f8/42f892d7d2c6dd755e4c5b0cfdb7fa7c/0111847725.jpeg "Die Methoden und die Ausführung haben sich bei Ransomware in den letzten Jahren deutlich weiterentwickelt. Früher ging es um Profit, heute geht es um viel mehr als das. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
DNS-Monitoring bringt IT-Sicherheit DNS-Fehler – Die unterschätzte Gefahr
DNS-Einträge werden meist einmal eingegeben – und dann vergessen. Doch Tippfehler, veraltete Ziele oder schlecht abgesicherte Routen können für Unternehmen fatale Folgen haben. Daher sollten sie den Routineservice immer wieder überprüfen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Gemäß dem Global DNS Threat Report 2021 von IDC waren weltweit 87 Prozent der Unternehmen im vergangenen Jahr von DNS-Angriffen betroffen. Allein in Deutschland registrierten 83 Prozent solche Angriffe, wobei sie durchschnittlich von 8,9 Attacken berichteten. Die Kosten betrugen hierzulande rund 831.000 Euro pro Angriff. In Deutschland führten DNS-Attacken häufig zum Ausfall firmeninterner Anwendungen (53 Prozent) sowie zu Geschäfts- (39 Prozent) und Datenverlust (21 Prozent).
Diese Zahlen verdeutlichen, wie wichtig eine gute DNS-Pflege für die Netzwerksicherheit ist. Trotzdem unterschätzen viele Unternehmen die Gefahr. Denn DNS wird häufig als Routinedienst betrachtet, der – einmal eingerichtet – weitgehend von selbst läuft. Doch einerseits können menschliche Fehler bei der Konfiguration sowie unsauber durchgeführte Aktualisierungen zu großen Sicherheitslücken führen. Andererseits greifen Cyberkriminelle mit immer raffinierteren Methoden die DNS-Infrastruktur an.
Beispiel für fehlende Aktualisierungen: Tiburon
Vor kurzem stießen die Experten von Cisco Talos auf den nicht registrierten Domainnamen „tiburoninc.net“. Das Unternehmen Tiburon Inc. war ursprünglich Eigentümer und Betreiber dieser Domain und wurde im Jahr 2015 von TriTech übernommen. Diese Firma fusionierte 2018 mit mehreren Unternehmen zu CentralSquare Technologies, das den Domainnamen von Tiburon im April 2019 auslaufen ließ.
Ein Blick auf die passiven DNS-Daten zeigt jedoch, dass immer noch eine beträchtliche Menge an Internetverkehr versucht, diese Domain zu erreichen. Talos registrierte die Domain und stellte fest, dass ein Großteil der DNS-Anfragen von Internet-Computern stammte, die nach einer Datei namens „wpad.dat“ auf dem Webserver von tiburoninc.net suchten. WPAD wird verwendet, um die Proxy-Einstellungen des Webbrowsers in Unternehmen zentral zu verwalten.
Damit handelte es sich bei den Anfragen wahrscheinlich um Mitarbeitende von Tiburon/TriTech, deren Proxy-Einstellungen nie geändert wurden. Cyberkriminelle hätten dies ausnutzen können, um die von den Computern der Mitarbeitenden übertragenen Daten zu inspizieren und die als Antwort zurückgesendeten Daten zu manipulieren. Um dies zu verhindern, hat Talos die Lücke an CentralSquare gemeldet, das sie inzwischen geschlossen hat.
Beispiel für Tippfehler: ASSA ABLOY
Bei der Suche nach potenziellen Spamfallen-Domains entdeckten die Security-Spezialisten von Cisco Talos einen nicht registrierten Domainnamen, der laut Umbrella Investigate eine große Anzahl von DNS-Abfragen erhielt: „asssaabloy.net“. Dieser Name hat nur ein zusätzliches „s“ im Vergleich zum registrierten Domainnamen „assaabloy.net“ der ASSA ABLOY-Gruppe. Diese bietet Sicherheitslösungen für physische Zugangskontrollen.
Talos registrierte den Domainennamen und richtete einen DNS-Server ein, um den Datenverkehr zu analysieren. Die meisten Anfragen suchten nach einem Host namens „vpn.asssaabloy.net“. Es stellte sich heraus, dass es sich nicht um Typosquatting handelte, bei dem Angreifer Tippfehler ausnutzen. Stattdessen hatte wohl ein Administrator bei ASSA ABLOY den Namen der Intranet-Domain in einer VPN-Konfigurationsdatei falsch eingegeben und an die Mitarbeitenden verteilt. Diese griffen anschließend auf die nicht registrierte Domain „asssaabloy.net“ zu, um eine Verbindung zum VPN des Unternehmens herzustellen. Diese Domain hätte ein Angreifer registrieren können, um sich als legitimer VPN-Endpunkt der ASSA ABLOY Group auszugeben und den Datenverkehr der Mitarbeitenden abzufangen. Inzwischen wurde der Fehler behoben.
Weitere häufige Tippfehler betreffen MX-Einträge. So verwenden beispielsweise Domains mit E-Mail-Diensten, die bei GoDaddy gehostet werden, in der Regel zwei MX-Server: smtp.secureserver.net und mailstore1.secureserver.net. In mehreren Fällen wurde der erste Punkt ausgelassen. Tatsächlich wurde der Domainname smtpsecureserver.net im Mai 2021 von Unbekannten registriert und ist derzeit bei GoDaddy geparkt. Aufgrund von Schwärzungen im WHOIS bleibt unklar, wer hinter dieser Aktivität steckt. Auch bei ähnlichen Diensten treten solche Tippfehler in primären MX-Einträgen auf. Dann können Hacker alle für die Domain bestimmten E-Mails abfangen. Insgesamt identifizierte Talos bislang fast 150 verschiedene Domains, die auf diese Weise falsch konfiguriert waren.
Beispiel für gezielte Attacken: Sea Turtle
Einer der wohl größten und berüchtigtsten DNS-Attacken fand vor wenigen Jahren unter dem Namen „Sea Turtle“ statt. Laut Analysen von Cisco Talos sind mindestens 40 Organisationen in 13 Ländern erfolgreich kompromittiert worden. Mit hoher Wahrscheinlichkeit führten staatlich unterstützte Hacker per DNS-Hijacking die Angriffe durch, um sich Zugang zu sensiblen Netzwerken und Systemen zu verschaffen.
Dabei gab es zwei Gruppen von Opfern. Die Primäropfer umfassten nationale Sicherheitsorganisationen, Außenministerien und bekannte Energieunternehmen. Als Sekundäropfer wurden Drittanbieter angegriffen, die Dienstleistungen für die Primäropfer erbringen. Zu den Sekundäropfern gehörten DNS-Registrierungsstellen, Telekommunikationsunternehmen und Internet Service Provider. Die Hacker konnten DNS-Hijacking bei ihren Primäropfern durchführen, indem sie zunächst die Drittanbieter attackierten. Dabei sind sie sogar für den ersten öffentlich bestätigten Angriff auf eine Organisation verantwortlich, die eine Root-Server-Zone verwaltet.
Die Akteure verschafften sich den ersten Zugang entweder durch Ausnutzung bekannter Schwachstellen oder durch das Versenden von Phishing-Mails. Dabei nutzten sie wohl mehrere Sicherheitslücken aus, um sich innerhalb einer betroffenen Organisation fortzubewegen. Typischerweise änderte der Täter die DNS-Einträge für das Zielunternehmen und leitete die Nutzer auf einen bösartigen DNS-Server um. Dieser lieferte vom Täter kontrollierte Antworten auf alle DNS-Anfragen. In einigen Fällen änderten die Hacker den TTL-Wert (Time-to-Live) auf eine Sekunde. Dies geschah wahrscheinlich, um das Risiko zu minimieren, dass irgendwelche Datensätze im DNS-Cache des Opfercomputers verbleiben.
Gab das Opfer seine Anmeldedaten auf der gefälschten Webseite ein, speicherte der Angreifer diese zur späteren Verwendung. Der einzige Hinweis für das Opfer war eine kurze Verzögerung zwischen der Eingabe der Daten und dem Zugriff auf den Dienst. Da der Hacker anschließend legitime Anmeldedaten für den Zugang zu den Konten verwendete, gab es für die Unternehmen so gut wie keine Anhaltspunkte für eine Entdeckung. Zusätzlich stahlen die Angreifer das SSL-Zertifikat der Organisation. Sie nutzten es dann auf von ihnen kontrollierten Servern, um weitere Man-in-the-Middle-Attacken durchzuführen und zusätzliche Anmeldedaten zu sammeln. Auf diese Weise konnten die Angreifer ihren Zugriff auf das Netzwerk des Zielunternehmens erweitern.
Tipps für mehr Sicherheit
Um sich vor DNS-Hijacking zu schützen, empfiehlt sich die Verwendung eines Registrierungssperrdienstes. Dann ist eine Out-of-Band-Nachricht erforderlich, bevor der DNS-Eintrag eines Unternehmens verändert werden darf. Zusätzlich sollte unbedingt eine Multi-Faktor-Authentifizierung für den Zugriff auf die DNS-Einträge des Unternehmens zum Einsatz kommen. Netzwerkadministratoren können die DNS-Einträge ihrer Domains überwachen, um Anomalien festzustellen. Bei Verdacht einer DNS-Attacke ist das Passwort netzwerkweit zurückzusetzen, vorzugsweise von einem Computer in einem vertrauenswürdigen Netzwerk aus. Zudem sind immer die neuesten Patches zu installieren, um bekannte Sicherheitslücken zu schließen.
Zudem nutzt moderne Malware sehr häufig maliziöse DNS-Einträge, um Verbindung mit Command & Control-Servern aufzubauen, Bestandteile nachzuladen, und Daten/Keys zu exfiltrieren.
Um dies abzuwenden, sowie zum Schutz vor fehlerhaften oder vergessenen Einträgen empfiehlt sich der Einsatz eines externen DNS-Schutzes wie zum Beispiel OpenDNS oder Umbrella. Dabei wird die globale Telemetrie von Cisco Talos auf Basis von ausgeklügelten KI-Methoden verwendet. Ein solcher Dienst verbindet die Funktion eines DNS-Resolvers mit der Absicherung und Überprüfung der angefragten Adressen. Zudem kann dieser Dienst um weitere Funktionen wie zum Beispiel Cloud-Firewall, sicheres Web-Gateway oder Cloud Access Security Brokers (CASB) zu einem sicheren Internet-Gateway (SIG) erweitert werden. Damit können Unternehmen die nötige Transparenz erreichen, um sowohl Fehlkonfigurationen als auch internetbasierte Angriffe zu entdecken.
In Bezug auf DNS sollten in der Standardkonfiguration alle Anfragen protokolliert werden. Dann können Administratoren die Protokolle und insbesondere den Response-Code prüfen. Dieser zeigt, wie eine bestimmte DNS-Anfrage bearbeitet wurde. War eine DNS-Anfrage erfolgreich, ist zum Beispiel in Umbrella der Response-Code „NOERROR“ zu sehen. Durch die Suche nach DNS-Anfragen, die andere Response-Codes – etwa „NXDOMAIN“ – zurückgeben, können Administratoren mögliche Fehlkonfigurationen wie die oben beschriebenen identifizieren.
Fazit
Das Domain Name System ist einer der Standarddienste im Internet. Daher erhält der Service im Alltag nur wenig Aufmerksamkeit. Trotzdem sollten Unternehmen regelmäßig die Einträge per DNS-Monitoring prüfen. Denn schon kleine Fehler oder veraltete Angaben können Einfallstore für Cyberkriminelle öffnen und zu großen Schäden führen.
Über den Autor: Holger Unterbrink ist Security Researcher bei Cisco Talos.
(ID:48082637)
:quality(80)/images.vogel.de/vogelonline/bdb/1599700/1599712/original.jpg "DNS ist in Windows Server-Umgebungen mit Active Directory zwar schnell eingerichtet, aber Administratoren müssen sich auch unbedingt um die DNS-Sicherheitsaspekte kümmern! (monsitj - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1693600/1693622/original.jpg "Um ihr Active Directory (AD) und die DNS-Server besser schützen zu können, sollten sich Admins auch mit den Richtlinien im DNS auseinandersetzen. (areebarbar - stock.adobe.com)")