Categories: Gastbeitrag

Ich hab die IP-Adresse? Das war ja einfach!

Hacker schlafen nicht. Um ihre kriminellen Machenschaften voranzutreiben, entwickeln sie immer neue Möglichkeiten, die Netzwerke der Opfer zu infiltrieren. Eine erschreckende Neuerung in diesem Bereich sind „IP Use After Free Attacken“. Als Weiterentwicklung der Lookalike-Domains, bei denen die Opfer über eine täuschend echt aussehende URL auf schadhafte Websites geleitet werden, schafft es diese neue Variante selbst die vorsichtigsten User zu täuschen. Aber auch die Cybersecurity entwickelt sich stetig weiter. So können KI-gestützte DNS-Sicherheitslösungen dabei helfen, die Gefahr durch „IP Use After Free Attacken“ zu minimieren.

Gefahr durch „IP Use After Free Attacken“

Während Lookalike-Domains versuchen so auszusehen wie legitime URLs, machen sich die Angreifer bei „IP Use After Free Attacken“ veraltete DNS-Zuordnungen zu Nutze, um eine vertrauenswürdige URL mit passender IP-Adresse zu kapern und sich die nötigen Zertifikate zu holen, um selbst die vorsichtigsten Nutzer hinters Licht zu führen. Das funktioniert sowohl mit veralteten DNS-Records von On-Premises-Lösungen als auch in der Cloud. Um zu zeigen, wie erschreckend einfach diese Methode in der Cloud funktioniert, folgender Weg als Beispiel:

Das Unternehmen, welches später zum Opfer des Angriffs wird, erstellt zunächst ganz normal eine virtuelle Maschine mit einer Zuordnung einer IP-Adresse zur URL vom Cloud-Provider. Irgendwann wird diese wieder ausgeschalten – beispielsweise, weil alle Tests durchgeführt worden sind, die auf der Maschine gemacht werden sollten. Das ist erst einmal alles noch normal. Zum Einfallstor für Kriminelle wird dies, sobald die Zuweisungen auch lange nach dem Abschalten der virtuellen Maschine bestehen bleibt. In diesem Fall versuchen die Angreifer mit vielen Anfragen beim Provider IP-Adressen zugewiesen zu bekommen, bei denen noch veraltete DNS-Records hinterlegt sind.

IP-Adresse in weniger als 30 Minuten

Dabei überrascht, wie schnell Hacker auf diesem Weg erfolgreich sein können. Tobias Fiebig vom APNIC-Blog hat beispielsweise nur knapp 28 Minuten gebraucht, um eine gewünschte IP-Adresse zugewiesen zu bekommen – und das mit nur 2 Anfragen pro Sekunde. Wollen Angreifer nicht eine spezielle IP-Adresse, sondern eine der damals von ihm entdeckten 702.180 für „IP Use After Free Attacken“ anfälligen Adressen, ist die benötigte Zeit sogar geringer.

Was passiert nun aber, nachdem die Kriminellen eine passende IP-Adresse mit veraltetem DNS-Record zugewiesen bekommen haben? Die Historie der IP-Adresse macht es den neuen Besitzern extrem einfach, an wichtige Sicherheitszertifikate zu kommen. Denn um ein Zertifikat zu erhalten, das über die sogenannte Domain Validation ausgestellt wird, müssen die Angreifer nur ein relativ geringes Maß an Kontrolle über die Domain vorweisen – was mit dem veralteten DNS-Record keine Hürde darstellt. Mit dem Zertifikat können die Kriminellen dann weiter das Vertrauen in ihre neue, schadhafte Seite stärken.

Die schlechte Nachricht: Sich als Nutzer vor solchen Fakes zu schützen ist sehr schwierig. Gute Sichtbarkeit und einfache Verwaltung im Netzwerk über DNS, DHCP und IPAM (DDI) Tools bringen aber auch hier den Erfolg gegen die Angreifer. Cloud-Provider und Unternehmen sollten daher regelmäßig ihre DNS-Aufzeichnungen überprüfen und alle veralteten Zuweisungen löschen. DDI-Lösungen können dies heutzutage sogar automatisiert über das sogenannte DNS Scavenging. So schützen sich Unternehmen nicht nur davor, dass ihr guter Name (in Form vertrauenswürdiger URLs) missbraucht wird – sie schützen auch User, welche auf die Täuschung hereingefallen wären und damit vertrauen in das Unternehmen verlieren würden. Eine Win-Win Situation für alle.

DDI als Ergänzung zu Firewall und Co

Was aber tun, wenn ein Mitarbeiter auf die Angreifer hereingefallen ist und die Hacker ins Firmennetzwerk eindringen konnten? Moderne Lösungen für die Verwaltung von IP-Adressen sind nicht nur geeignet, um zu verhindern, dass die eigene Domain aufgrund veralteter DNS-Einträge für böswillige Zwecke gekapert wird. Der Dreiklang aus DNS, DHCP und IPAM ist auch nützlich, um das Netzwerk zu schützen, wenn der Schaden angerichtet ist. Denn moderne DDI-Lösungen können Router, Switches und Load Balancer (d. h. alle Layer-2- und Layer-3-Geräte) zentral und einfach registrieren und so für Transparenz im Netz sorgen. Durch die Einsicht in den Datenverkehr, des Verhaltens jedes Geräts im Netzwerk und dem Fakt, dass mehr als 90 % der Malware auf ihrem Weg in und aus dem Netzwerk das DNS nutzt, kann die Integration von DDI-Metadaten in den Sicherheits-Stack eines Unternehmens dazu beitragen, Hacker so früh wie möglich zu erkennen. Das bedeutet: Selbst, wenn die Mitarbeiter und Firewalls die Angreifer nicht als solche erkennen, tut es die DNS Security Lösung. So können die richtigen Maßnahmen ergriffen werden, bevor ein schlimmerer Schaden entsteht.

Dazu ein Beispiel der Datenexfiltration. Über die DNS-Protokolle können kleine Datenpakete unerkannt aus dem Unternehmensnetzwerk herausgeschmuggelt werden. Dazu zerlegt die Malware die Daten in kleinste Bruchstücke, verschlüsselt sie und sendet diese unkenntlich gemachten Datenschnipsel mit jeder Anfrage zu der von den Angreifern registrierten Domain. Dort müssen die Fragmente, die beispielsweise sensible Informationen wie personenbezogene Daten enthalten, nur noch zusammengesetzt werden und schon haben sie das Unternehmen verlassen.

ML kann verdächtigen DNS-Traffic erkennen

Herkömmliche Firewalls haben quasi keine Chance dies zu erkennen. Das ändert sich, sobald DNS auch als Security-Layer genutzt wird. Moderne Lösungen nutzen hier Machine Learning, um regulären von verdächtigem DNS-Traffic zu unterscheiden. Die verdächtige Kommunikation wird sofort gestoppt, die Daten verlassen das Unternehmen nicht und das Security-Team kann direkt weitere Ermittlungen anstellen und gegebenenfalls auch sofort Geräte in Quarantäne schicken. Der Schlüssel zur optimalen Anwenderfreundlichkeit ist die schnelle Bereitstellung und der hohe Automatisierungsgrad. Die Implementierung solcher Lösungen ist denkbar einfach und kann in kürzester Zeit ohne große Downtime erfolgen. Ein erfahrener Partner für die Implementierung kann Unternehmen dabei helfen, den Weg zur Sicherung des Netzes über DNS zu ebnen.

Mit „IP Use After Free Attacken“ haben die Angreifer das nächste Level der Täuschung erreicht. Der Faktor Mensch bleibt, wie im Infoblox State of Security Report 2022 schon aufgezeigt, das wohl wichtigste Einfallstor für Cyberkriminelle, das mit der neuen Methode nur noch offener steht. Da aber auch für die Hacker fast die komplette Kommunikation mit ihrer Malware mit Netzwerk-Basisdiensten in Berührung kommt, sollten Sicherheitsverantwortliche vor allem in diesem Bereich aufrüsten, um den neuen Bedrohungen die Stirn bieten zu können.

Steffen Eid

Manager, Solution Architects – Central Europe bei Infoblox

Roger Homrich

Recent Posts

Mensch-Maschine-Interaktion mit GPT 4o

GPT 4.0 transformiert die Art und Weise, wie wir mit Maschinen kommunizieren, und bietet Fähigkeiten,…

14 Stunden ago

CrowdStrike-CEO entschuldigt sich für weltweite IT-Störung

Die Entschuldigung richtet sich an Kunden des Unternehmens und an Betroffene wie Flugreisende. Ein fehlerhaftes…

1 Tag ago

Weltweiter IT-Ausfall: Angriff ist die beste Verteidigung

Kommentare von IT- und Security-Experten zur Update-Panne bei CrowdStrike.

3 Tagen ago

KI & Microsoft Copilot: Höhenflug oder Bruchlandung?

Zukünftig setzt der staatliche Glücksspielanbieter auf Microsoft Dynamics 365 Business Central.

3 Tagen ago

Automatisierung im Personalwesen: So revolutioniert Digitaltechnik die Lohn- und Gehaltsabrechnung

Die Digitalisierung hat die Art und Weise, wie Aufgaben erledigt werden, in vielen Bereichen stark…

4 Tagen ago

Europas RZ-Kapazität wächst bis 2027 um ein Fünftel

Laut Immobilienmarktbeobachter Savills entspricht dieser Ausbau dem jährlichen Energiebedarf von mehr als einer halben Million…

5 Tagen ago