Domain- und DNS-Hijacking sind zwar keine neuen Bedrohungen, die Wirksamkeit und Raffinesse jüngster Angriffswellen rücken das Thema jedoch in den Fokus. So gelang es Angreifern im Nahen Osten, den IP-Verkehr zahlreicher Nutzer auf eigene Server umzuleiten und Passwörter abzugreifen. Betroffen sind nach derzeitigem Stand über 50 öffentliche Organisationen und Unternehmen in zwölf Ländern. Welche Lehren sollten IT-Verantwortliche deutscher Unternehmen aus den jüngsten Attacken ziehen und wie laufen diese Attacken aus technischer Sicht ab?
Besonders ausgeklügelte und aggressive Vorgehensweise
Bei DNS-Angriffen sind Kriminelle in der Lage, den Datenverkehr von legalen Websites auf eigene, betrügerische Websites umzuleiten. Im zweiten Schritt werden dann sensible Informationen und Zugangsdaten mittels präparierter Phishing-Websites abgegriffen. Diese gleichen dem Original optisch fast vollständig. Sowohl für Website-Besucher als auch für betroffene Organisationen sind die neuesten Formen dieser Angriffsmethode nur schwer zu erkennen. Im Falle der aktuellen Attacke, die von Cisco Talos entdeckt und „Sea Turtle“ getauft wurde, waren hochrangige Ziele und staatliche Organisationen aus Nordafrika und dem Nahen Osten betroffen.
Eine neue Qualität hat Sea Turtle, weil das DNS-Hijacking erstmals auf DNS-Registrarebene erfolgte und dabei Verwaltungsorganisationen länderspezifischer Top-Level-Domains aggressiv angegriffen wurden. Hierbei wurden sogenannte Man-in-the-Middle-Zertifikate genutzt. Zudem verfügten die Angreifer offensichtlich über ausgeprägtes Wissen darüber, wie Internetfunktionen manipuliert werden können, da ein spezielles Protokoll (EPP) zum Austausch von Domain-Informationen zwischen Domain-Registrant und Domain-Registrar verwendet wurde. Zugang zu den Registrar-Netzwerken erhielten sie durch Spear-Phishing-E-Mails und das Ausnutzen bekannter Schwachstellen. Dann entwendeten die Angreifer legitime SSL-Zertifikate und änderten die DNS-Zertifikate der betroffenen Organisationen. Hierdurch wurden sämtliche Besucher auf bösartige DNS-Server umgeleitet. Wurden Zugangsdaten dieser Art einmal entwendet, sind unberechtigte Zugriffe praktisch nicht mehr zu verhindern, bis die Zugänge gesperrt werden. Doch welche Schlussfolgerung ergibt sich hieraus für IT-Verantwortliche in deutschen Unternehmen?
DNS Security muss mehrere Maßnahmen umfassen
Um gegen Domain- und DNS-Hijacking vorzubeugen, sind mehrere Maßnahmen erforderlich. Die Basis ist Registry-Lock. Entsprechende Services blockieren Änderungen an DNS-Einträgen solange, bis eine Bestätigung über einen separaten Kommunikationskanal stattfindet. Wird vom DNS-Registrar kein Registry-Lock-Service angeboten, sollte zumindest eine Mehr-Faktor-Authentifizierung eingesetzt werden, um DNS-Einträge abzusichern. Selbstverständlich sollten die Systeme zudem stets dem aktuellen Patch-Stand entsprechen.
DNS-Administratoren sei zudem der Einsatz eines Monitoring-Systems empfohlen. Dieses sollte bei Änderungen an wichtigen DNS-Records (z. B. A- oder MX-Records) Alarm schlagen. Noch sicherer ist es, wenn Alarme bei Änderungen der NS-Records, des SOA-Records oder der DNSKEY-Records ausgelöst werden.
Die ICANN (Internet Corporation for Assigned Names and Numbers) rückt im Zusammenhang mit Sea Turtle zudem DNSSEC in den Fokus. Es handelt sich hierbei um mehrere Standards, mit dem das DNS um Sicherheitsfunktionen zur Gewährleistung von Datenintegrität und -authentizität erweitert wird. Mittels digitaler Signatur sichert DNSSEC die DNS-Informationen ab. Zudem sollten für sämtliche Anfragen validierende Resolver genutzt werden. Diese können den Zusammenhang prüfen, wenn angesteuerte Domains signiert sind. Einfache Umleitungen sind somit nicht möglich und Angriffe laufen ins Leere.
Erfolgreiche Domain-Entführung kaum erkennbar
War ein Angreifer mit dem Domain-Hijacking erfolgreich, lässt sich dies nur schwer erkennen. Browser und Mail-Client verbinden sich mit dem präparierten Server, ohne sich hierbei auffällig zu verhalten. Mit „neuen“ Man-in-the-Middle-Zertifikaten, ausgestellt bei einer anderen Zertifizierungsstelle, werden sogar Zertifikatsprüfungen ausgehebelt. Abhilfe kann an dieser Stelle das sogenannte Zertifikat-Pinning schaffen. Clients speichern hierbei den öffentlichen Schlüssel von Zertifikaten in einer Liste und gleichen diese beim Verbindungsaufbau ab. Schlägt die Validierung eines Server-Zertifikats fehl, wird keine verschlüsselte Verbindung aufgebaut. Allerdings gilt das Verfahren als komplex und problembehaftet, weshalb Google die Unterstützung im eigenen Browser Chrome mittlerweile wieder entfernte.
Unabhängig davon gilt: Wer vermutet, von einem Angriff betroffen zu sein, sollte sämtliche Passwörter im Netzwerk zurücksetzen. Dies geschieht am besten von einem Rechner innerhalb eines vertrauenswürdigen Netzwerks.
Absicherung dringend erforderlich
Sea Turtle zeigt, dass Angriffe auf DNS-Infrastrukturen ein besorgniserregendes Ausmaß angenommen haben. Doch nicht nur in staatlichen Organisationen, sondern auch in zahlreichen Unternehmen, ist das DNS von hoher Bedeutung und gleichzeitig ein neuralgischer Punkt. Sind Angreifer erfolgreich, drohen massive Schäden durch die Veröffentlichung sensibler Daten oder den Ausfall von Webseiten oder weiteren Services. Noch gravierender sind die damit einhergehenden Kosten und Imageschäden. Unternehmen müssen sich daher der Verwundbarkeit des DNS bewusst werden und stärker in den Schutz ihrer DNS-Infrastruktur investieren.