Was ist los mit der DNS-Sicherheit?

Es ist noch nicht allzu lange her, dass Google ganze Sets von Subdomains, wie z.B. co.cc Domains auf eine Blacklist setzte, da bekannt geworden war, dass hier maliziöse Websites gehostet wurden. Ungefähr zur selben Zeit startete ich auch meine Untersuchungen über neue Wege, mittels Analyse von DNS-Informationen Domains zu identifizieren, die mit schädlichen Inhalten verknüpft sind.

Im Rahmen meiner Untersuchung führte ich einfach einige AXFR-Checks auf verdächtig anmutenden Domains durch, musste jedoch schnell feststellen, dass nicht nur Geräte, die Pishing-Sites hosten, in ihren Nameservern schwach konfiguriert sind. Zahlreiche Websites von Regierungen sowie Nameserver, auf denen TLD (Top Level Domains) gehalten werden, ermöglichen AXFR. Das Verfahren ansich stellt zwar keine Sicherheitslücke dar, aber die von den Nameservern abgefischten Informationen können sich für die Angreifer äußerst wertvoll erweisen.

AXFR ist der Opcode für den Zonentransfer beim Domain Name System (DNS), d.h. eine bestimmte Art der DNS-Anfrage, die es einer externen Person ermöglicht, sämtliche DNS-Informationen für eine spezifische Domain zu erlangen. Zonentransfer wird von Administratoren für die Synchronisierung der DNS-Daten in einer Gruppe beteiligter DNS-Servern verwendet. Angreifer können damit an sämtliche DNS-Daten einer spezifischen Domain gelangen.

In der jüngsten Vergangenheit waren gezielte Attacken und Hacker-Aktivitäten das Thema der Stunde, wodurch ein gewisser Druck auf Regierungen, Organisationen und Großunternehmen entstand. In den Unternehmen wurde der IT-Sicherheit eine höhere Priorität zugebilligt, wobei der Hauptschwerpunkt jedoch auf den neuen und technisch komplizierten Schwachstellen zu liegen scheint – mit dem Ergebnis, dass ältere und banalere Schwachstellen in Vergessenheit geraten sind.

Einer meiner ersten Tests zielte darauf ab, herauszufinden, wie viele der Top Level Domains tatsächlich AXFR unterstützen. Grundlage meiner Nachforschungen war die unter. abrufbare IANA TLD-Liste. Zu meiner großen Überraschung ermöglichten rund 30% aller Nameserver, auf denen TLD gehalten werden, AXRF.

Das brachte meine grauen Zellen in Bewegung, und schrieb ich ein einfaches Script, das Namen vor die TLD einfügen und versuchte, ein AXFR auf den für diese Domain verfügbaren Nameserver auszuführen, was bei der Überprüfung von co.cc, cz.co und weiteren Domains hilfreich sein könnte. Ich weiß, dass bestimmte „Standards“ für den Aufbau von Domains existieren, so verwenden beispielsweise Regierungen häufig den Wortteil „gov“ vor der TLD, womit festgelegt wird, dass es sich um die Website einer Regierung handelt: gov.se oder gov.com.

Ich entschloss mich, dafür einfach einen Kontrollmechanismus in mein Script einzubauen und, wie zuvor, stieß ich zu meiner Überraschung auf eine ganze Reihe von Regierungs-Websites, die AXFR ermöglichen, nämlich insgesamt 12%:

Dieses Projekt sollte jedoch einem anderen Zweck dienen. Mein Ziel war es, Seiten zu identifizieren, die in irgendeiner Weise mit schädlichen Inhalten verknüpft sind, und ich begann daher, Nameserver zu spezifizieren und Daten von verschiedenen Nameservern zu sammeln. Nach einiger Zeit bemerkte ich, dass die Personen, die Domains für Malware-Angriffe registriert hatten, häufig Hostnamen verwendeten, die sich von einem gültigen Domain-Namen unterscheiden lassen. Der Domainname enthielt nicht selten zufällig gewählte Zeichen oder auch den Namen des Unternehmen, das von den Angreifern ins Visier genommen war.

Fähigkeit zur Identifizierung schädlicher Websites

Dieses Verfahren, Domainnamen mit zufällig gewählten Zeichen oder dem Namen des Opferunternehmens zu benutzen, ist eine äußerst gängige Praxis für Pishing-Sites. Domainnamen, die aus einer Zeichenfolge wie login.yahoo.com.somedomain.com o.ä. bestehen, sind sehr häufig anzutreffen.

Ich parste lediglich meine Datenbank und hielt Ausschau nach Strings, die gemeinhin in Pishing-Sites verwendet werden. Der Screenshot unten zeigt ein Beispiel einer von mir detektierten Pishing-Site:

Jedoch wurden nicht nur Pishing-Sites identifiziert. Alles Erdenkliche, angefangen von Websites, auf denen gefälschte AV-Lösungen angeboten werden über Seiten, die schädliches Javscript für Drive-by-Downloads hosten, bis hin zu C&C Servern und Botfarmen, konnte beobachtet werden.

Fazit

Über eine geraume Zeit waren DNS-Informationen ein interessantes Analyseobjekt, und der kürzliche Aufruhr hinsichtlich DNS-Sicherheit und schädliche Domains ist ein Beweis mehr dafür, dass wir dieses Protokoll weiterhin im Auge behalten müssen.

Einer meiner Kollegen, Eugene Aseev, hat einen interessanten Artikel über das kürzlich erfolgte Blacklisting von Domains verfasst. Sein Blogpost kann abgerufen werden unter:

www.securelist.com/en/blog/208193040/From_Cocos_Islands_to_Cameroon.

Ich bin ziemlich schockiert über die Menge an Daten, die ich mir mittels der AXFR-Transfers aneignen konnte, und darüber, wie viele Websites es gibt, die diese Übertragung immer noch unterstützen. Bei einem gezielten Angriff ist Spezifizierung einer der wichtigsten Schritte, und der DNS-Zonentransfer kann den Angreifern eine Vielzahl interessanter Informationen liefern, sowie eine komplette Liste mit potentiellen Zielobjekten. Ich rate allen Usern dringend dazu, ihre Zonen und den Setup zu überprüfen und sicherzustellen, dass keine unnötigen Daten durchsickern.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.