Defense in Depth DNS- und netzwerkbasierte Sicherheit

Von Yohai Einav und Yuriy Yuzifovich

Forscher von Alibaba Cloud haben kürzlich Spuren eines Exploit-Kits des Tofsee-Trojaners auf hunderten von Cloud-Rechnern entdeckt. Anstatt die Bedrohung mithilfe eines Endpunkt-Agenten aufzuspüren, verwendeten die Experten eine Reihe von Algorithmen, die den DNS-Verkehr analysierten und nach Mustern und Korrelationen mit früheren bösartigen Aktivitäten suchten.

Firmen zum Thema

Yuriy Yuzifovich, Head of Security Innovation Labs bei Alibaba Cloud, und Yohai Einav, Principal Security Researcher bei Alibaba Cloud, beleuchten die Rolle von DNS im heutigen mehrschichtigen „Defense in Depth"-Sicherheitskonzept und warum traditionelle Silo-Sicherheitsschichten angesichts der heutigen Bedrohungslage keinen ausreichenden Schutz mehr bieten.
Yuriy Yuzifovich, Head of Security Innovation Labs bei Alibaba Cloud, und Yohai Einav, Principal Security Researcher bei Alibaba Cloud, beleuchten die Rolle von DNS im heutigen mehrschichtigen „Defense in Depth"-Sicherheitskonzept und warum traditionelle Silo-Sicherheitsschichten angesichts der heutigen Bedrohungslage keinen ausreichenden Schutz mehr bieten.
(© sdecoret - stock.adobe.com)

Viele Unternehmen befinden sich inmitten eines digitalen Transformationsprozesses. Damit verbunden sind auch oft Sicherheitsbedenken. Dies liegt nicht alleine an der zunehmenden weltweiten Cyberkriminalität, sondern auch an den damit verbundenen Kosten. Diese steigen laut dem aktuellen Cyberwarfare-Bericht 2021 jedes Jahr um 15 Prozent.

Und die Zukunftsprognosen sind nicht gerade vielversprechend: derselbe Bericht warnt, dass Cyberkriminalität Unternehmen weltweit bis 2025 jährlich 10,5 Billionen US-Dollar kosten wird. Es sind allerdings nicht nur die Kosten, die den Unternehmen Sorgen bereiten, sondern auch der Schaden, der dem Ruf der Marke zugefügt wird, und der Vertrauensverlust, den die Kunden empfinden, wenn z.B. ihre persönlichen Daten durch eine Sicherheitsverletzung gefährdet werden.

Natürlich sind nicht nur Unternehmen, die beispielsweise auf die Cloud umsteigen, über Cyberkriminalität besorgt; alle Unternehmen – unabhängig von Größe, Sektor oder dem Stand ihrer Cloud-Migration – räumen der Sicherheit Priorität ein. Ein Bereich, der zunehmend Anlass zur Sorge gibt, sind Angriffe auf das Domain Name System (DNS) und die Frage, wie Unternehmen DNS-Daten nutzen können, um systemübergreifende Cyberangriffe zu erkennen.

Da das DNS quasi als Telefonbuch des Internets fungiert, ist es unerlässlich, dass es robust und sicher ist. DNS-Sicherheit hat jedoch zwei Richtungen. Erstens ist das DNS eine kritische Infrastruktur, auf die alle Unternehmen angewiesen sind und ohne die sie nicht funktionieren können. Dennoch bleibt das DNS eine anfällige Komponente im Netzwerk, die häufig als Ausgangspunkt für Cyberangriffe genutzt wird und durch herkömmliche Sicherheitslösungen nur unzureichend geschützt ist. Wenn kritische DNS-Dienste beeinträchtigt werden, kann dies zu katastrophalen Netzwerk- und Systemausfällen führen. Daher besteht die erste Bedeutung der DNS-Sicherheit darin, DNS-Server zu schützen.

Zweitens spielt DNS eine entscheidende Rolle in einem mehrschichtigen Sicherheitskonzept, das als "Defense in Depth" bekannt ist. In der heutigen Bedrohungslage, in der sowohl Organisationen aber auch Einzelpersonen ins Visier genommen werden, bieten traditionelle Sicherheitsmechanismen keinen ausreichenden Schutz. Angreifer wissen, wie jeder einzelne Mechanismus funktioniert und wie man diesen umgehen kann. Der Schlüssel zur Abwehr von Angriffen liegt in der Sammlung unabhängiger Informationen aus mehreren unterschiedlichen Quellen und der anschließenden Weitergabe dieser Informationen an die verschiedenen Ebenen.

Ein aktueller Gartner-Bericht empfiehlt Unternehmen, DNS-Protokolle für die Erkennung von Bedrohungen und für forensische Zwecke mithilfe von SIEM (Security Information and Event Management) zu sammeln und zu analysieren, DNS-Bedrohungsabwehr- und Blockierfunktionen zu implementieren und den DNS-Datenverkehr auf andere Anomalien zu überwachen.

Während sich einige Teams und Organisationen in erster Linie der DNS-Netzwerkinfrastruktur und -sicherheit widmen, konzentrieren sich andere auf die zweite Ausrichtung. Ihr Ziel ist es, sich die DNS-Daten (sowie anderer netzbezogener Daten), die in jedem Netz verfügbar sind, sich zunutze zu machen, um eine neue Sicherheitsebene zu schaffen, die die verschiedenen bestehenden Ebenen und Schutzmechanismen ergänzt.

Tofsee – erfolgreiche Erkennung durch DNS-basierten Ansatz

Eine hinterhältige Malware namens Tofsee, die erstmals 2020 in Europa und den USA auftauchte, scheint sich in den letzten Monaten zunehmend auszubreiten. Sicherheitsforscher entdeckten kürzlich Spuren eines Exploit-Kits (EK) dieses Trojaners in Hunderten von Cloud-Rechnern, was darauf schließen lässt, dass er sich bereits auf Zehntausende von Rechnern ausgebreitet haben könnte.

Sicherheitsforscher konnten die Spuren des Tofsee-Trojaners nachverfolgen.
Sicherheitsforscher konnten die Spuren des Tofsee-Trojaners nachverfolgen.
(Bild: Alibaba Cloud)

Der Tofsee-Trojaner ermöglicht Angreifern verschiedene bösartige Aktionen wie Spamming, Klickbetrug oder das Schürfen von Kryptowährungen. Es handelt sich um ein äußerst leistungsfähiges Schadprogramm mit ernsthaften Auswirkungen – finanzieller Verluste eingeschlossen. Ein kompromittiertes System wird Teil des Tofsee-Spam-Botnets, das zum Versenden großer Mengen an Spam-E-Mails verwendet wird, um weitere Systeme zu kompromittieren und unter die kriminelle Kontrolle des Botnet-Betreibers zu bringen.

Die übliche Methode zur Erkennung von Tofsee-Aktivitäten auf einem Server ist die Verwendung eines Endpunkt-Agenten. Eine Endpunkt-Erkennungs- und Reaktionslösung (EDR), die auf einem Computer installiert wird und dessen Aktivitäten überwacht, kann bekannte Signaturen von Tofsee (bekannte Dateien oder Muster, die bereits mit Tofsee in Verbindung gebracht werden) identifizieren. Der Nachteil jedoch ist, dass Angreifer, wenn sie wissen, dass eine Signatur existiert, kleine Änderungen an ihrem Malware-Code vornehmen und die Signatur umgehen können. Bis eine neue Signatur erstellt wird, nimmt die Erkennungsleistung des EDR entsprechend ab.

Anstatt die Tofsee-Bedrohung mithilfe eines Endpunkt-Agenten zu verfolgen, haben Sicherheitsforscher von Alibaba Cloud eine Reihe von Algorithmen entwickelt, die den DNS-Verkehr analysieren und nach Mustern sowie Korrelationen mit früheren bösartigen Aktivitäten suchen. Genauer gesagt identifizierten sie mit ihrer Methode Übereinstimmungen zwischen Domänennamen beziehungsweise Sequenzen von Domänen, die regelmäßig zusammen auftreten.

Die Entdeckung der Spuren des Tofsee-Trojaners begann mit einem einzelnen Domänennamen ("work[.]a-poster[.]info"), der vor einigen Monaten von einem Sicherheitsunternehmen gemeldet wurde. Diese Domäne wurde damals als Bedrohung eingestuft. Durch Algorithmen des maschinellen Lernens konnten Forschungsteams dann diese Domäne mit weiteren Domänennamen korrelieren und verknüpfen, die alle mit einem Spam- und Malware-Download-Botnet in Verbindung standen. Dabei handelte es sich um das Tofsee-Botnet. Eine schnelle Folgeanalyse durch die Sicherheitsexperten von Alibaba Cloud entdeckte alle Cloud-Rechner, die von dem Botnet betroffen waren und konnte sie erfolgreich bereinigen.

Eine weitere Sicherheitsebene für ein umfassendes Konzept

Während im geschilderten Fall ein einzelner Domänenname der Schlüssel zur Erkennung der Präsenz von Tofsee auf mehreren Rechnern war, hätten beispielsweise zusätzliche Erkennungsmethoden andere Bedrohungen aufdecken können. Sicherheitskonzepte sollten daher immer auf mehreren Ebenen arbeiten.

Der beschriebene neue DNS- und netzwerkbasierte Ansatz ergänzt die bestehende agentenbasierte Sicherheit und ermöglicht Unternehmen bessere Sicherheitsabdeckung, ohne dass sie dabei neue Software installieren müssen. Dieser neue Ansatz für die DNS-Sicherheit kann dazu beitragen, Sicherheit zu erhöhen und gleichzeitig die Kosten zu senken – für wohl alle Unternehmen ein erstrebenswertes Ziel.

Über die Autoren:

Yohai Einav ist Principal Security Researcher bei Alibaba Cloud.

Yuriy Yuzifovich ist Head of Security Innovation Labs bei Alibaba Cloud.

(ID:47905283)