Frühwarnung per DNS : Wachstum bei hoch entwickelten Threat-Indicators

Von Frank Ruge, Hofheim

Die gute Nachricht gleich vorweg: Dass das Domain-Name-System (DNS) für Cyberkriminelle seit Jahren immer attraktiver wird, sorgt zwar einerseits für eine immer ausgefeiltere und vielfältigere Bedrohungslandschaft. Andererseits bietet sich das DNS durch seine bedeutende Funktion in der Online-Kommunikation aber auch als exponierter „Beobachtungsposten“ und Kontrollpunkt an: Denn dort lassen sich Threat-Indicators sammeln und anschließend analysieren sowie unterschiedlichen Angriffs-Vektoren zuordnen.

Auch Muster zum Aufbau, zur Charakteristik und zum Ablauf von Bedrohungen kann man anhand von Erkenntnissen aus dem DNS-Umfeld identifizieren. Werden diese Informationen in geeigneten Threat-Intelligence-Systemen konzentriert und im besten Fall herstellerübergreifend ausgetauscht, wächst auf Grundlage des DNS-Monitorings – beziehungsweise der DNS-basierten Netzwerkabsicherung – auch die Threat-Intelligence-Landschaft.

Die im Folgenden zugrunde gelegten Threat-Indicators von Infoblox ActiveTrust basieren auf empirischen Daten vieler Honeypots sowie dem Austausch mit dem AIS-Programm des US-amerikanischen Department of Homeland Security und anderen Sicherheitsorganisationen (u. a. z. B. Farsight sowie den Blacklists von SURBL und SURBL Fresh). Mittlerweile umfasst diese Datenbank über 8 Millionen Indikatoren mit Klassifizierung (z. B. Phishing, Malware, Botnet, DGA, …) und vielen Kontextinformationen, die sich per API automatisch in SIEM- (z. B. Splunk) und andere Security-Systeme integrieren lassen. Die Qualität dieser Indikatoren zeichnet sich durch eine sehr geringe False-Positive-Rate aus.

Phishing Phirst

Die meisten Threat-Indicators in Deutschland sind derzeit mit Phishing-Szenarien verbunden (vgl. Abb. 1). Wie aktuelle Zahlen von Infoblox aus dem Frühjahr 2018 zeigen, haben die Threat-Indicators bezogen auf den Vergleichszeitraum in Europa, Deutschland und der Schweiz zugenommen. Fiel das Wachstum bei den Standard-Indikatoren mit bis zu knapp 1 % noch vergleichsweise moderat aus, verhält es sich mit den sogenannten Advanced Indicators deutlich anders: Die Entwickler der zugehörigen Bedrohungen und Angriffe verwenden dynamische und schwerer zu erkennende Algorithmen. Dort konnte eine Zunahme der Anhaltspunkte für Bedrohungen um rund 8 % nachgewiesen werden.

Grundlage der Untersuchung sind die Umwandlung von „Fully Qualified Domain Names“ (FQDN) in IP-Adressen – die zentrale Aufgabe des DNS – sowie die Auswertung der Zonen und Zonenbezeichnungen. Im Zusammenhang mit weiteren Attributen sowie Metadaten, die etwa zum Identifizieren der Geolokation von Serveranfragen geeignet sind, zeigen sich weitere Auffälligkeiten:

• In Deutschland standen die meisten der komplexeren Threat-Indicators in Verbindung mit Phishing-Angriffen (25 %), mit noch nicht kategorisierten, aber bereits erkennbaren Bedrohungen (20 %), mit neu observierten, höchstwahrscheinlich böswilligen Domains (19 %) sowie mit Malware-Downloads (3 %).
• Die am häufigsten kompromittierten Endpunkte in Deutschland und der Schweiz konzentrieren sich rund um große Städte mit mehreren hunderttausend Einwohnern.

Konzentration um Ballungsräume

Anhand der Prjektion auf eine Deutschlandkarte lässt sich schnell erkennen, dass unter den hochentwickelten Threat-Indicators besonders viele in Berlin und Frankfurt zu lokalisieren sind. Bezogen auf die Schweiz sind die entsprechenden Indikatoren vor allem rund um Zürich konzentriert, die größte Stadt des Landes.

In Relation zur Bevölkerungsdichte tauchen in der Schweiz viermal so viele Bedrohungsindikatoren auf wie in Deutschland. Offenbar ist die Anzahl der Schweizer IPs, die in Rechenzentren außerhalb des Landes gemanagt werden, gering. Das ist bedeutsam, weil manche Internet-Service-Provider (ISP), die Domains generieren und in bestimmten Ländern oder Regionen stark vertreten sind, selbst immer wieder von Sicherheitsvorfällen betroffen sind beziehungsweise nicht alle in gleichem Maße Sicherheitsvorkehrungen treffen, um Missbrauch abzuwenden.

Werden kompromittierte Domains vom DNS in IP-Adressen aufgelöst, die vom ISP oder in einem lokalen Rechenzentrum gemanagt werden, kann es zu solchen territorialen Häufungen kommen. Manche ISPs, deren Kunden sogenannte Domain-Generation-Algorithm- (DGA)-Domänen nutzen, tauchen wiederholt in Threat-Indicator-Erhebungen auf. Die Dienste solcher Anbieter werden offenbar gern von böswilligen Cyber-Aktivitäten in Anspruch genommen: Sobald bösartige Akteure die Infrastruktur eines ISPs als Spam- oder Malware-„freundlich“ erkennen oder die Generierung und Löschung von Domains sich gut automatisieren lässt, steigt die Attraktivität der Anbieter für fragwürdige Zwecke.

Gegenmaßnahmen

Es bietet sich an, bei der Netzwerkabsicherung der eigenen Organisation auch und gerade beim DNS anzusetzen. Außerdem sollte man Maßnahmen etablieren, um die DNS-Kommunikation auf Threat-Szenarien hin zu analysieren. Der Netzwerkdienst DNS kann dann bei der Erkennung böswilliger Kommunikation helfen, schon bevor tatsächlich Informationen oder Malware aus- beziehungsweise eingeschleust werden. Administratoren erhalten so die Möglichkeit, fragwürdige Verbindungen und Datenströme aufzuzeichnen, zu blockieren, umzuleiten oder auch zur weiteren Beobachtung einfach durchzulassen.

Ob und in welchem Umfang Algorithmus-generierte Domänen (bzw. IPs) verschiedener Provider für Spam- oder Malware-Distribution missbraucht werden, ist für einzelne Netzwerk-Administratoren hingegen kaum nachzuvollziehen. Daher sollte man mit konsistentem und automatisiertem DNS-Monitoring, mit Threat-Indicator-Daten (möglichst in Echtzeit) sowie mit umfassenden Threat-Intelligence Möglichkeiten über Herstellergrenzen hinweg das Risiko- und Bedrohungs-Management in Sachen Netzwerk breit aufstellen.

Insellösungen und manuelle Prozesse sind der heute rasant wachsenden Bedrohungslandschaft nicht mehr gewachsen. Aus diesem Grund sind Hersteller-Integrationen und -Kooperationen enorm wichtig, damit Stärken gebündelt werden können: von Threat-Detection über dedizierte Endpoint-Security bis hin zu QuarantäneVerfahren.

Frank Ruge ist Director & General Manager Central Europe bei Infoblox.

Literatur

[1] Rainer Singer, Schleichweg DNS, Covert Channels via Domain-Name-System (DNS), 2017# 6, S. 68

[2] Martin Huber, Indicators of Compromise, Tools und Vorgehensweisen zum Threat-Hunting, 2017# 5, S. 6

[3] Markus Manske, Nichts geht mehr, Aktuelle Situation zu Distributed-Denial-of-Service-(DDoS)-Angriffen, 2016# 5, S. 59