Domain-Name-System-Angriffe

5 DNS-Attacken, die Sie kennen sollten

DNS-Attacken sind weitverbreitet und kostspielig. Lesen Sie, welche Angriffsarten es gibt und wie Sie sich dagegen wappnen.
Von 
CSO | 07. März 2022 05:24 Uhr
Mit DNS-Attacken ist nicht zu spaßen. Lesen Sie, welcher Methoden sich Cyberkriminelle bedienen - und was Sie dagegen tun können.
Mit DNS-Attacken ist nicht zu spaßen. Lesen Sie, welcher Methoden sich Cyberkriminelle bedienen - und was Sie dagegen tun können.
Foto: gonin - shutterstock.com

Bei Domain-Name-System (DNS) -Attacken nutzen böswillige Akteure Schwachstellen im Internetprotokoll aus. Eine aktuelle Studie von IDC und Efficient IP hat mehr als 1.100 Unternehmen in Nordamerika, Europa und dem asiatisch-pazifischen Raum zum Thema befragt. Das Ergebnis: 87 Prozent der Befragten waren bereits von DNS-Attacken betroffen. Die durchschnittlichen Kosten eines solchen Angriffs belaufen sich den Analysten zufolge auf circa 950.000 Dollar. Im Rahmen der Untersuchung stellten die Marktforscher auch einen starken Anstieg bei den Fällen von Datendiebstahl über DNS fest: Bei 26 Prozent der Befragten wurden so sensible Kundendaten gestohlen - dieser Wert lag 2020 noch bei 16 Prozent.

Damit Ihnen solche Erfahrungen erspart bleiben, haben wir die fünf gängigsten DNS-Angriffsarten - und entsprechende Abwehrmaßnahmen - für Sie zusammengefasst.

DNS-Angriffsmethoden: Top 5

DNS Amplification

Eine DNS-Amplification-Attacke beschreibt eine beliebte DDoS-Angriffsform, bei der ein Zielsystem mit Hilfe öffentlich zugänglicher DNS-Server mit Anfragen überlastet wird. Die Vorgehensweise: Ein Angreifer sendet eine DNS-Namensabfrage an einen offenen DNS-Server. Die Quelladresse wird dabei so manipuliert, dass sie als die Adresse des Ziels erscheint. Wenn der DNS-Server die Antwort sendet, wird sie an das Zielsystem gesendet.

Laut der US-Cybersicherheitsbehörde CISA fordern die Angreifer dabei in der Regel so viele Zoneninformationen wie möglich an, um den Verstärkungseffekt zu maximieren. Durch den Einsatz eines Botnets lässt sich zudem ohne großen Aufwand eine große Zahl gefälschter DNS-Anfragen erzeugen. Da es sich bei den Antworten um legitime Daten handelt, die von gültigen Servern stammen, ist es auch äußerst schwierig, DNS-Amplification-Angriffe zu verhindern.

DNS-/Cache-Poisoning

Bei dieser Art von Angriffen nutzen Angreifer Schwachstellen auf DNS-Servern aus, um diese zu übernehmen. Beim Cache-Poisoning injizieren Angreifer bösartige Daten in die Cache-Systeme eines DNS Resolver, um User auf Webseiten ihrer Wahl umzuleiten. Dort werden in der Regel persönliche oder andere Daten gestohlen.

Erlangen Cyberkriminelle die Kontrolle über einen DNS-Server, können sie die Cache-Informationen manipulieren (DNS-Poisoning). Der Code für DNS-Cache-Poisoning findet sich häufig in URLs, die über Spam- oder Phishing-E-Mails verschickt werden. DNS-Server können auf die Caches anderer DNS-Server zugreifen - so kann sich ein Angriff dieser Art möglicherweise erheblich ausweiten. Das Hauptrisiko beim DNS-Poisoning besteht im Diebstahl von Daten.

DNS-Tunneling

Ein weiterer beliebter - und betagter - Angriffsmodus ist DNS-Tunneling. Diese Angriffe nutzen das DNS-Protokoll aus, um Malware und andere Daten über ein Client-Server-Modell einzuschleusen. Mit Hilfe dieser Daten-Payloads können Cyberkriminelle DNS-Server übernehmen und haben dann potenziell auch Zugriff auf dessen Managementfunktionen und die Anwendungen, die auf ihm liegen.

Durch das Tunneln wird über den DNS-Resolver eine versteckte Verbindung zwischen dem Angreifer und dem Ziel hergestellt, die Firewall-Lösungen umgehen kann. Dieser Tunnel kann beispielsweise für die Datenexfiltration genutzt werden. DNS-Tunneling beruht in vielen Fällen auf der externen Netzwerkkonnektivität eines kompromittierten Systems, das Zugang zu einem internen DNS-Server mit Netzwerkzugang bietet.

Fast Flux

Fast Flux bezeichnet eine DNS-Umgehungstechnik, bei der Angreifer Botnets nutzen, um ihre Phishing- und Malware-Aktivitäten vor Sicherheits-Scans zu verbergen. Dazu nutzen sie dynamische IP-Adressen kompromittierter Hosts, die als Reverse Proxys für den Backend-Botnet-Master fungieren. Fast Flux kann auch die Kombination von Peer-to-Peer-Netzwerken, Distributed Command-and-Control, webbasiertem Load Balancing und Proxy Redirection bezeichnen, die eingesetzt wird, um die Aufdeckung von Malware-Netzwerken zu erschweren.

DNS-Hijacking/-Redirection

Unter DNS-Hijacking (oder DNS-Redirection) versteht man, die Namensauflösung von DNS-Anfragen zu umgehen. Das bewerkstelligen Cyberkriminelle, indem sie Malware einsetzen, die die TCP/IP-Konfiguration eines Systems außer Kraft setzt, um auf einen DNS-Server zu verweisen, der unter ihrer Kontrolle steht. Alternativ manipulieren sie einen vertrauenswürdigen DNS-Server, um damit zum Beispiel Phishing-Kampagnen zu fahren.

DNS-Attacken verhindern: Abwehrmaßnahmen

Unternehmen können eine Reihe von Maßnahmen ergreifen, um das Risiko von DNS-Angriffen zu minimieren.

Strengere Zugangskontrollen einführen

Unternehmen müssen besser kontrollieren, wer Zugang zu ihren Netzwerken hat. Eine Möglichkeit, das zu tun, ist der Einsatz von Multi- oder Zwei-Faktor-Authentifizierung. Dabei gilt es sicherzustellen, dass MFA auf allen betreffenden Konten aktiviert ist und entsprechende Passworthygieneregeln eingehalten werden.

Die CISA rät Unternehmen, die Passwörter all jener Konten umgehend zu ändern, mit denen Änderungen an DNS-Einträgen vorgenommen werden können - einschließlich der Konten auf der vom Unternehmen verwalteten DNS-Server-Software, den Systemen, die diese Software verwalten, den Administrationspanels von DNS-Betreibern und den Konten der DNS-Registrierungsstellen.

Zero Trust etablieren

Der Zero-Trust-Ansatz gewinnt immer mehr an Bedeutung, was zum Teil auch auf die Hybrid- und Remote-Work-Modelle zurückzuführen ist, die sich in vielen Unternehmen durchgesetzt haben. Zero Trust kann auch zur Eindämmung von DNS-Bedrohungen beitragen.

Gartner empfiehlt Sicherheits- und Risikoverantwortlichen, zwei wichtige netzwerkbezogene Zero-Trust-Projekte zu implementieren, um Risiken zu reduzieren: Mit Zero Trust Network Access (ZTNA) wird der Zugriff auf Grundlage der Identität der Benutzer und ihrer Geräte gewährt, zusätzlich zu anderen Faktoren wie Uhrzeit und Datum, geografischer Standort, historische Nutzungsmuster und Zustand des Geräts. Das Ergebnis, so Gartner, ist eine sichere und widerstandsfähige Umgebung mit höherer Flexibilität und besserem Monitoring. Eine identitätsbasierte Netzwerksegmentierung ist laut Gartner ebenfalls ein probates Mittel, um die Fähigkeit von Angreifern einzuschränken, sich lateral durch Netzwerke zu bewegen.

DNS-Einträge prüfen/verifizieren

Die US-Behörde CISA empfiehlt Unternehmen, alle Domains, die sie besitzent und verwalten, zu überprüfen: Es gilt sicherzustellen, dass die Name Server auf die richtigen DNS-Server verweisen. Dabei sollten sämtliche DNS-Einträge auf allen autoritativen und sekundären DNS-Servern überprüft werden. Alle entdeckten Diskrepanzen sollten sofort untersucht und als potenzieller Sicherheitsvorfall behandelt werden. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.

Bob Violino arbeitet als freier IT-Journalist für InfoWorld und Network World in den USA.