Die Zahl der weltweiten DNS-Attacken lenkt die Aufmerksamkeit auf die Problematik der reibungslosen Funktionalität des Internets. DNS-Infrastrukturen mangelt es oft an „Built-In“-Sicherheit. Internet User sind dadurch großen Risiken ausgesetzt. Die jahrzehntelange Arbeit an den DNSSEC-Spezifikationen (Domain Name System Security Extension) ist eine konzertierte Anstrengung, um einen besseren Weg zu finden, das DNS zu sichern – bei gleicher Flexibilität in der Skalierbarkeit bei Unternehmensnetzwerken oder größeren Infrastrukturen.
Die Implementierung von DNSSEC schreitet in den meisten Ländern nur schleppend voran. Einige Ungeduldige begannen deshalb, die Sicherung des DNS-Traffics mit Hilfe anderer Methoden zu gewährleisten. Die Rede ist von DNS over TLS (DoT), DNSCrypt, DNSCurve und jüngst auch DNS over HTTPS (DoH).
Momentan sind wir Zeuge im Kampf um die Vorherrschaft über DNS over HTTPS. Traditionell werden DNS-Anfragen und -Antworten im Klartext übermittelt. „Security Operations Center“ (SOC)-Team behalten das Unternehmensnetzwerk im Auge, überwachen die abgefragten Domains und verhindern den Zugriff auf schädliche Domains. DNS-Anfragen im Klartext sind gewiss weniger privat, aber Informationen auf DNS-Ebene waren schon immer eine kritische Datenquelle in Bezug auf die Überwachung der Netzwerksicherheit.
Mit der Einführung von DoH werden DNS-Anfragen über das HTTPS-Protokoll verschlüsselt und so vor den vorher vergleichsweise einfachen Zugriffsmöglichkeiten des IT Security Teams verborgen.
Verlust von Sichtbarkeit im Netzwerk fordert Business Security heraus
Für IT-Sicherheitsteams hat DoH nicht nur Vorzüge. Malware-Kommunikationen können sich besser als HTTPS-Traffic im Unternehmensnetzwerk tarnen. Der DNS-Pionier Dr. Paul Vixie betonte in einem Interview mit dem ESET-Propagandist Tony Anscombe:
Als Netzwerkbetreiber... muss man beobachten, was die Benutzer, Anwendungen und Geräte im DNS tun, um zu erkennen, wohinter sich womöglich ein Eindringling oder Malware verbirgt, wer Teil eines Botnetzes ist, oder wo sich eine schädliche Supply Chain versteckt... Ich muss das sehen können, um die Netzwerksicherheit zu garantieren. Jeder, der meint, man müsste es mithilfe von DNS over HTTPS den Netzwerk-Betreibern unmöglich machen, in den DNS-Betrieb einzugreifen, versteht die Sichtweise der IT-Sicherheitsteams eines Unternehmens nicht.
Malware kommuniziert häufig via HTTP und HTTPS mit einem Command-and-Control-Server (C&C). Das kann anhand der MITRE ATT&CK-Wissensdatenbank als „Standard Application Layer Protocol“-Technik identifiziert werden. ESET-Forscher beobachteten beispielweise, wie PolyglotDuke C&C-URLs von sozialen Netzwerken wie Reddit und Twitter einholte, um die C&C-Server im Nachgang zu kontaktieren und letztendlich die MiniDuke Backdoor auf den Computern der Opfer auszuliefern. Dafür verantwortlich war ein von ESET neu entdeckter Downloader, der von The Dukes (aka APT29) in Operation Ghost zum Einsatz kam.
Um die böswillige Natur dieser Kommunikation zu verbergen, verschlüsselten die Cyberkriminellen die C&C-URLs, indem sie Zeichensätze aus verschiedenen Sprachen verwendeten, insbesondere aus Japanisch, Cherokee und Chinesisch - daher taufte ESET diesen Downloader „PolyglotDuke“.
Was wäre nun aber, wenn Malware sich hinter DNS over HTTPS verstecken könnte? Tatsächlich fanden die Proofpoint-Forscher ein neues Sextortion Modul Update der PsiXBot-Malware. Die Schadsoftware nutzte Googles DoH-Dienst zum Abrufen der C&C IP-Adressen. Damit konnten die Cyber-Angreifer die DNS-Abfragen hinter HTTPS verstecken. The Dukes und andere Bedrohungsakteure könnten möglicherweise ihre Instrumentarien erweitern und sich DoH zunutze machen. Das trägt offensichtlich dazu bei, die C&C-Kommunikation in Zukunft vor den Augen von IT-Administratoren zu verbergen.
Die DNS-Verschlüsselung bringt mit Sicherheit manchen Vorteil, gleichzeitig hebelt sie aber auch einige Schutzmaßnahmen von IT-Administratoren im Unternehmen aus. Das betrifft in erster Linie netzwerkbasierte Sicherheitslösungen und unterstreicht die Bedeutung einer qualitativ hochwertigen, mehrschichtigen Endpoint Security Lösung.
Sichtbarkeit im Netzwerk trotz verschlüsseltem DNS aufrechterhalten
IT Security Teams sind gut damit beraten, über Mozillas und Googles DoH-Bestrebungen informiert zu bleiben. Auf diese Weise können IT-Administratoren die Software und die Konfigurationen von Geräten zur Überprüfung des Netzwerkverkehrs aktualisieren, um den Zugang zu neuen DoH-Diensten zu blockieren, sobald diese auftauchen. Google bietet beispielsweise DoH über bestimmte statische Adressen an, die von Admins auf der Firewall-Ebene blockiert werden können.
Das Blockieren oder Deaktivieren bekannter DoH-Dienste ist jedoch nur ein erster Schritt, um die böswillige Verwendung von verschlüsselten DNS-Anfragen im Unternehmensnetzwerk zu erkennen. Erfahrenere IT Security Teams sollten EDR-Tools (Endpoint Detection and Response) verwenden. Damit erkennen und identifizieren sie schädliche DNS-Abfrageereignisse und erfassen bösartige Verbindungen zu C&C-Servern für spätere Untersuchungen.
IT-Admins können die Sichtbarkeit im Unternehmensnetzwerk in Bezug auf die Überwachung des DoH-Verkehrs von Firefox- und Chrome-Browsern aufrechterhalten, indem sie benutzerdefinierte Sicherheitszertifikate auf den Endpunkten installieren und den Browser-Verkehr über einen Proxy leiten.
Dadurch bietet sich die Gelegenheit, eine Lösung zur Überprüfung des Netzwerkverkehrs zu schaffen, die DoH versteht, die HTTPS-Inspektionen zur Inline-Entschlüsselung durchführen, Logs erstellt usw., und jedes relevante Ereignis an ein EDR-Tool für weitere Analysen berichtet.
Man beachte, dass einige Browser zwar nach „angehefteten Zertifikaten“ suchen, dass aber ein lokal installiertes Sicherheitszertifikat die üblichen Checks überschreiben kann. Weder Firefox noch Chrome-Browser überprüfen zum Zeitpunkt des Erscheinens dieses Artikels auf angeheftete Zertifikate.
Es existieren aber auch andere Möglichkeiten mit DoH umzugehen. Unternehmen können analog zur Einrichtung von interner DNS-Server auch auf interne DoH-Server setzen, um schädliche Anfragen zu filtern. Alternativ können die IT-Admins DoH im Firefox Browser von Mozilla ausschalten.
Die technischen Lösungen in Bezug auf den Umgang mit DoH-Problemen sind mannigfaltig. IT Security Teams müssen in Zukunft verstehen lernen, welche Fähigkeiten das neue Protokoll den Cyberkriminellen verleihen kann und welche kaskadierenden Effekte auf Netzwerksicherheitsebene auftreten. Unter Berücksichtigung dieser Punkte kann eine geeignete Sicherheitsrichtlinie für die Verwendung von DoH im Unternehmen definiert und von IT-Administratoren umgesetzt werden.
