DNS: Der einfachste Weg, Daten zu stehlen?
Eine DNS-Anfrage (Domain Name System) ist der Ausgangspunkt für fast alle Aktivitäten im Internet. Es ist also wenig überraschend, dass Cyberkriminelle das DNS-Protokoll als mögliches Einfallstor nutzen. Es gibt verschiedene Möglichkeiten, wie Angreifer DNS missbrauchen, darunter die DNS-Verstärkung, die für Distributed-Denial-of-Service-Attacken verwendet wird, und DNS-Hijacking, bei dem harmlose DNS-Anfragen zu einer schädlichen Domain umgeleitet werden. Ein perfiderer, gezielterer Weg ist der DNS-basierte Datendiebstahl, der seltener vorkommt.
DNS-Tunneling mit hohem Durchsatz im Vergleich zu DNS‑Exfiltration mit niedrigem Durchsatz
Die grundlegende Technik, die bei DNS-Tunneling mit hohem Durchsatz und bei DNS‑Exfiltration mit niedrigem Durchsatz zum Einsatz kommt, ähnelt sich – es gibt jedoch auch entscheidende Unterschiede. Bei beiden Varianten wird das DNS-Protokoll genutzt, um Daten zu übertragen, die nichts mit der DNS-Abfrage zu tun haben. Dabei werden der DNS-Anfrage zusätzliche Daten hinzugefügt. In beiden Fällen wird sich die Tatsache zunutze gemacht, dass die meisten Unternehmen aufgrund seiner entscheidenden Rolle nicht in den DNS-Traffic eingreifen. Das war es aber auch schon mit den Gemeinsamkeiten.
Beim DNS-Tunneling mit hohem Durchsatz erhöht sich der DNS-Traffic zu einer bestimmten oder mehreren Domains, die DNS-Anfrage für eine oder mehrere Domains verlängert sich und die Zeitspanne zwischen den Anfragen wird kürzer. DNS-Tunneling kann für relativ harmlose Zwecke (z. B. zur Umgehung einer WLAN-Paywall) oder für schädliche Zwecke (z. B. zur Kommunikation mit einem Command and Control [C2]-Server) genutzt werden. Aufgrund dieser Eigenschaften ist es jedoch relativ einfach, DNS-Tunneling zu erkennen und zu blockieren.
Wenn hingegen DNS-Datenexfiltration mit niedrigem Durchsatz zum Einsatz kommt, gibt es keine signifikante Zunahme des Traffics zu einer einzelnen oder mehreren Domains und die Zeitspanne zwischen den Anfragen ist größer. Ein durch Malware infizierter Endpunkt kann beispielsweise nur jede Stunde aktiv sein und eine DNS-Anfrage mit einer kurzen angehängten Nachricht an seinen C2-Server senden. Das macht die Erkennung von DNS-Exfiltration mit niedrigem Durchsatz ohne eine hohe Anzahl an False Positives extrem schwierig.
Warum ist die Datenexfiltration mit geringem Durchsatz bei Cyberkriminellen so beliebt?
Beim Übertragen von Daten per DNS gibt es eine wichtige Beschränkung: Die DNS-Nachrichtenlänge ist auf 255 Byte begrenzt, und oft sind bereits die UDP-Steuermeldungen sehr lang. Wie bereits erwähnt, schrecken Unternehmen davor zurück, den DNS-Traffic anzupassen, was häufig auch bedeutet, dass dieser nicht überwacht wird. Geschieht dies dennoch, lässt sich oftmals nur Tunneling mit hohem Durchsatz identifizieren.
Das macht die Datenexfiltration mit geringem Durchsatz für Angreifer besonders attraktiv, insbesondere wenn die gestohlenen Daten sehr wertvoll sind, z. B. bei Kreditkartennummern. Es dauert möglicherweise eine Weile, bis der Datenklau abgeschlossen ist. Bei diesem langsamen, unauffälligen Angriff lohnt sich jedoch das Warten.
Schutz vor DNS-Exfiltration
Da die DNS-Exfiltration mit geringem Durchsatz so gefährlich ist und potenziell umfassende und kostspielige Datenschutzverletzungen nach sich ziehen kann, hat sich das Sicherheitsteam von Akamai ausführlich mit diesem Problem beschäftigt, um eine effektivere Erkennungstechnik entwickeln zu können. Die wichtigsten Details dieser Forschung werden in diesem wissenschaftlichen Artikel vorgestellt, den alle lesen sollten, die sich noch intensiver mit diesem Thema auseinandersetzen möchten.
Unser Algorithmus zur Erkennung von DNS-Datenexfiltration baut auf diesen Forschungsergebnissen auf und wurde im Laufe der Zeit stetig verbessert, um Angriffe schneller und präziser zu erkennen und False Positives zu minimieren. Die Lösung analysiert kontinuierlich die DNS-Traffic-Protokolle von Kunden, die unser Cloud Secure Web Gateway nutzen. Schlägt die Erkennung an, alarmieren wir den betroffenen Kunden proaktiv. Zudem werden die entsprechenden Domains unserer Threat Intelligence hinzugefügt, sodass alle Kunden anschließend geschützt sind.
Ein Fall im April 2022 zeigt, wie effektiv der Algorithmus ist. Das System erkannte einen Anstieg des DNS-Traffics zu einer Reihe von Domains in Traffic-Protokollen von Kunden, bei dem die gestohlenen Daten an Anfragen an Subdomains angehängt wurden. Besonders interessant daran ist, dass der Algorithmus innerhalb der ersten Stunde der Aktivität anschlug und die Erkennung auf einer relativ geringen Anzahl bzw. Anfragen an die Subdomains basierte: insgesamt nur 1.109.
Nachdem die Sicherheitsteams von Akamai den Kunden auf den möglichen Angriff aufmerksam gemacht hatten, erfuhren wir, dass der Kunde Penetrationstests durchgeführt hatte. Das Sicherheitsteam war begeistert, dass die Exfiltration über Secure Internet Access Enterprise so schnell erkannt wurde.
Ist DNS noch immer ein Schwachstelle, wenn es um Sicherheit geht?
Wie bereits erwähnt, schrecken viele Unternehmen immer noch davor zurück, DNS zu manipulieren, da das Risiko besteht, den Internet-Traffic versehentlich zu unterbrechen. Ein DNS-Sicherheitsservice bietet die Option, den DNS-Traffic ohne dieses Risiko transparent und sicher zu machen. Dies wird erreicht, indem jede DNS-Anfrage analysiert und mit einer Echtzeit-Datenbank für Bedrohungsinformationen abgeglichen wird.
Dieser Ansatz hilft dabei, dass sicherer DNS-Traffic normal verläuft, schädlicher Traffic jedoch blockiert wird. Entscheidend ist dabei auch, dass DNS-Protokolle nahezu in Echtzeit überprüft werden können, um DNS-Datenexfiltration mit geringem Durchsatz zu identifizieren.
DNS-Anfragen: Akamai findet selbst die Nadel im Heuhaufen
Bei Akamai lieben wir Zahlen. Daher haben wir untersucht, wie viele DNS-Anfragen zur Erkennung der Exfiltration im Vergleich zu bestimmten anderen DNS-Zahlen von Akamai benötigt werden. Akamai verarbeitet täglich 7 Billionen DNS-Anfragen. Dabei blockieren unsere Internetsicherheitsservices proaktiv 2,8 Milliarden schädliche DNS-Anfragen.
Das bedeutet, dass die 1.109 DNS-Anfragen im Zusammenhang mit der erkannten Exfiltration 0,000000015842857 % der täglichen DNS-Anfragen und 0,00003960714286 % der schädlichen DNS-Anfragen ausmachen. Oder anders ausgedrückt: Wir finden die Nadel im Heuhaufen.
Weitere Informationen
Weitere Informationen dazu, wie Sie Ihren DNS-Traffic schnell transparenter und sicherer machen, um Risiken zu reduzieren, finden Sie unter https://www.akamai.com/de/products/secure-internet-access-enterprise , wo Sie sich für eine kostenlose 60-Tage-Testversion anmelden können.
