Man-in-the-Middle-Angriffe nehmen zu: Überwache dein DNS

Mit einer plötzlichen Steigerung bei DNS-Hijackings und Man-in-the-Middle-Angriffen hat das United States Computer Emergency Readiness Team (US-CERT) die folgende Warnung auf seiner Seite Alerts and Tips ausgegeben:

Dem National Cybersecurity and Communications Integration Center (NCCIC), Teil der Cybersecurity and Infrastructure Security Agency (CISA), ist die globale Hijacking-Kampagne der Domain Name System (DNS)-Infrastruktur bekannt. Anhand manipulierter Anmeldedaten kann ein Angreifer die Adresse, zu der die Domainnamen eines Unternehmens aufgelöst werden, ändern. Damit kann ein Angreifer Nutzer-Traffic auf vom Angreifer kontrollierte Infrastruktur weiterleiten und gültige Verschlüsselungszertifikate für den Domainnamen eines Unternehmens erhalten, wodurch Man-in-the-Middle-Angriffe ermöglicht werden.

Das NCCIC weist Administratoren auf die Blogs FireEye und Cisco Talos Intelligence zum Thema des globalen Hijackings der DNS-Infrastruktur hin, um weitere Informationen zu erhalten. Darüber hinaus empfiehlt das NCCIC die folgenden Best Practices, um Netzwerke gegen diese Bedrohung möglichst zu schützen:

  • Einrichten einer Multi-Faktor-Authentisierung bei Domain-Registrar-Accounts sowie bei anderen Systemen, die zur Änderung von DNS-Records genutzt werden.
  • Verifizieren, dass die DNS-Infrastruktur (Second-Level-Domains, Subdomains und zugehörige Resource Records) auf die richtigen Internet-Protocol-Adressen oder Hostnamen verweisen.
  • Suche nach Verschlüsselungszertifikaten für die Domains und Widerrufen aller betrügerisch angeforderten Zertifikate.

Wie funktionieren DNS/SSL-Angriffe?

Für unsere technisch gesinnten Leser empfehlen wir, die in der US-CERT-Meldung genannten Artikel über die Hijacking-Methoden zu lesen. Für alle anderen haben wir hier zusammengefasst, wie die vielfältigen Angriffe funktionieren.

Methode 1: Geänderter DNS A Record
Der A Record in deinem DNS-Eintrag enthält die Version 4 der IP-Adresse für deinen Server. Anhand von Phishing-Angriffen und anderen Mitteln erhalten Angreifer Zugang zum Administratorenbereich des DNS-Anbieters und ändern die IP-Adresse, sodass sie auf einen Proxy-Server verweist. Der Proxy-Server leitet die Nutzeraktivitäten auf eine Ziel-Website mithilfe eines Zertifikats von Let’s Encrypt weiter, um eine Verbindung aufzubauen. Der Angreifer erfasst Nutzernamen, Passwörter und Domain-Anmeldedaten, wenn Nutzer die Website aufrufen.

Methode 2: Geänderter NS Record
Dein NS Record enthält Domaininformationen des autoritativen Nameservers. Diese Methode funktioniert wie Methode 1, aber nutzt einen zuvor manipulierten Registrar oder eine ccTLD (Country Code Top-Level Domain). Der Angreifer ändert den NS Record, sodass dieser auf einen manipulierten Nameserver verweist, der die Anfrage an einen Proxy-Server leitet, wodurch der Angreifer Anmeldedaten erfassen kann.

Methode 3: DNS-Weiterleitung
Mithilfe einer der oben genannten Methoden leitet diese Methode die Anfrage an eine vom Angreifer kontrollierte Infrastruktur.

Wer muss sich über DNS-Angriffe Sorgen machen?

Jedes Unternehmen kann Opfer eines oben beschriebenen Angriffs werden. FireEye gibt an, dass Telekom-Unternehmen, ISP-Anbieter, Internet-Infrastruktur-Unternehmen, Regierungen und angreifbare Wirtschaftsunternehmen den Großteil der angegriffenen Ziele bilden – worunter die meisten Websites fallen, möglicherweise auch deine.

Diese Methoden verwenden gezielte Spear-Phishing-Angriffe, bei denen ein argloser Nutzer ein Word-Dokument mit schädigenden Makros öffnet. In dem Dokument werden mehrere verschiedene Methoden verwendet, um die Entdeckung durch Viren- und Malware-Erkennungssoftware zu verhindern, wodurch sie am Rechner schwer zu identifizieren sind.

Schütze dein Unternehmen vor einem DNS- oder SSL-Angriff

Nach den Empfehlungen des US-CERT solltest du:

  • eine Multi-Faktor-Authentisierung bei Registrar-Accounts verwenden.
  • deine DNS-Einträge auf Richtigkeit der Informationen überprüfen.
  • nach nichtautorisierten SSL-Zertifikaten suchen und diese widerrufen.

Wir fügen dem noch einen Punkt hinzu:

  • Automatisiere deine DNS- und SSL-Prüfungen, um den Schutz auf 24 Stunden täglich auszuweiten.

Externes Monitoring mit Uptrends
DNS- und SSL-Zertifikatsprobleme können sich auf alle Nutzer oder auf einzelne Regionen auswirken. Mit Einsatz von Uptrends’ globalem Netzwerk von über 200 Checkpoint-Standorten überprüfst du deine DNS-Einträge bei DNS-Servern auf der ganzen Welt. Statt des zufälligen Ablaufs eines manuellen Tests, können Uptrends Überprüfungen einmal pro Minute 24/7 stattfinden. Die erweiterten Warnmeldungen von Uptrends lassen dich wissen, sobald das Monitoring einen Fehler oder Abweichungen in deinen Einträgen bemerkt.

Monitoring deines DNS
Es dauert nur einen Moment, dein DNS Monitoring einzurichten. Mit dem DNS Monitoring kannst du Folgendes prüfen:

  • A (IPv4-Adresse)
  • AAAA (IPv6-Adresse)
  • NS (Autoritativer Nameserver)
  • CNAME (Aliase)
  • MX (Mailserver-Mapping)
  • SOA (Start of Authority)
  • SRV (Server)
  • TXT (Text)
  • Root Server

Du kannst DNS-Prüfobjekte einrichten, um alle oben genannten Records auf Änderungen zu überwachen. Wir empfehlen die A und AAAA Records zu überwachen. Du kannst auch deinen SOA Record auf Änderungen hin beobachten. Dein SOA Record enthält eine Seriennummer. Das Domain Name System erhöht die Seriennummer, sobald jemand Änderungen an deinen DNS Records vornimmt. Indem du diese Nummer überwachst, kannst du feststellen, ob jemand die Einträge manipuliert hat.

Monitoring deiner SSL-Zertifikate
Neben dem Senden von Erinnerungen über anstehende Ablaufdaten und der Überwachung hinsichtlich Zertifikatsfehlern kannst du viele Felder bei deinen SSL-Zertifikaten überprüfen:

  • Allgemeiner Name
  • Organisation
  • Organisationseinheit
  • Seriennummer
  • Fingerabdruck
  • Aussteller allgemeiner Name
  • Aussteller Organisation
  • Aussteller Organisationseinheit

Von einem Hacker genutzte Zertifikate lösen keine Fehlermeldung aus, aber da ein von einem Hacker genutztes Zertifikat nicht dieselben Werte wie dein Zertifikat haben wird, löst dein SSL-Prüfobjekt eine Warnmeldung aus.

Fazit

  1. DNS- und Zertifikats-Hijacking nehmen weiterhin zu.
  2. Der Schutz deiner Nutzer und deiner Marke vor DNS-Angriffen erfordert Wachsamkeit.
  3. Manuelles Testen deines DNS und deiner SSL-Zertifikate kann nicht örtliche Probleme aufdecken, die Nutzer möglicherweise erleben.
  4. Das proaktive Monitoring deiner DNS Records und SSL-Zertifikatskonfigurationen mit Uptrends kann dich früher vor einem Angriff warnen, als manuelles Testen oder Warten auf Beschwerden durch Nutzer.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.