Ich hab die IP-Adresse? Das war ja einfach!

Hacker schlafen nicht. Um ihre kriminellen Machenschaften voranzutreiben, entwickeln sie immer neue Möglichkeiten, die Netzwerke der Opfer zu infiltrieren. Eine erschreckende Neuerung in diesem Bereich sind „IP Use After Free Attacken“. Als Weiterentwicklung der Lookalike-Domains, bei denen die Opfer über eine täuschend echt aussehende URL auf schadhafte Websites geleitet werden, schafft es diese neue Variante selbst die vorsichtigsten User zu täuschen. Aber auch die Cybersecurity entwickelt sich stetig weiter. So können KI-gestützte DNS-Sicherheitslösungen dabei helfen, die Gefahr durch „IP Use After Free Attacken“ zu minimieren.

Gefahr durch „IP Use After Free Attacken“

Während Lookalike-Domains versuchen so auszusehen wie legitime URLs, machen sich die Angreifer bei „IP Use After Free Attacken“ veraltete DNS-Zuordnungen zu Nutze, um eine vertrauenswürdige URL mit passender IP-Adresse zu kapern und sich die nötigen Zertifikate zu holen, um selbst die vorsichtigsten Nutzer hinters Licht zu führen. Das funktioniert sowohl mit veralteten DNS-Records von On-Premises-Lösungen als auch in der Cloud. Um zu zeigen, wie erschreckend einfach diese Methode in der Cloud funktioniert, folgender Weg als Beispiel:

Das Unternehmen, welches später zum Opfer des Angriffs wird, erstellt zunächst ganz normal eine virtuelle Maschine mit einer Zuordnung einer IP-Adresse zur URL vom Cloud-Provider. Irgendwann wird diese wieder ausgeschalten – beispielsweise, weil alle Tests durchgeführt worden sind, die auf der Maschine gemacht werden sollten. Das ist erst einmal alles noch normal. Zum Einfallstor für Kriminelle wird dies, sobald die Zuweisungen auch lange nach dem Abschalten der virtuellen Maschine bestehen bleibt. In diesem Fall versuchen die Angreifer mit vielen Anfragen beim Provider IP-Adressen zugewiesen zu bekommen, bei denen noch veraltete DNS-Records hinterlegt sind.

IP-Adresse in weniger als 30 Minuten

Dabei überrascht, wie schnell Hacker auf diesem Weg erfolgreich sein können. Tobias Fiebig vom APNIC-Blog hat beispielsweise nur knapp 28 Minuten gebraucht, um eine gewünschte IP-Adresse zugewiesen zu bekommen – und das mit nur 2 Anfragen pro Sekunde. Wollen Angreifer nicht eine spezielle IP-Adresse, sondern eine der damals von ihm entdeckten 702.180 für „IP Use After Free Attacken“ anfälligen Adressen, ist die benötigte Zeit sogar geringer.

Was passiert nun aber, nachdem die Kriminellen eine passende IP-Adresse mit veraltetem DNS-Record zugewiesen bekommen haben? Die Historie der IP-Adresse macht es den neuen Besitzern extrem einfach, an wichtige Sicherheitszertifikate zu kommen. Denn um ein Zertifikat zu erhalten, das über die sogenannte Domain Validation ausgestellt wird, müssen die Angreifer nur ein relativ geringes Maß an Kontrolle über die Domain vorweisen – was mit dem veralteten DNS-Record keine Hürde darstellt. Mit dem Zertifikat können die Kriminellen dann weiter das Vertrauen in ihre neue, schadhafte Seite stärken.

Die schlechte Nachricht: Sich als Nutzer vor solchen Fakes zu schützen ist sehr schwierig. Gute Sichtbarkeit und einfache Verwaltung im Netzwerk über DNS, DHCP und IPAM (DDI) Tools bringen aber auch hier den Erfolg gegen die Angreifer. Cloud-Provider und Unternehmen sollten daher regelmäßig ihre DNS-Aufzeichnungen überprüfen und alle veralteten Zuweisungen löschen. DDI-Lösungen können dies heutzutage sogar automatisiert über das sogenannte DNS Scavenging. So schützen sich Unternehmen nicht nur davor, dass ihr guter Name (in Form vertrauenswürdiger URLs) missbraucht wird – sie schützen auch User, welche auf die Täuschung hereingefallen wären und damit vertrauen in das Unternehmen verlieren würden. Eine Win-Win Situation für alle.

DDI als Ergänzung zu Firewall und Co

Was aber tun, wenn ein Mitarbeiter auf die Angreifer hereingefallen ist und die Hacker ins Firmennetzwerk eindringen konnten? Moderne Lösungen für die Verwaltung von IP-Adressen sind nicht nur geeignet, um zu verhindern, dass die eigene Domain aufgrund veralteter DNS-Einträge für böswillige Zwecke gekapert wird. Der Dreiklang aus DNS, DHCP und IPAM ist auch nützlich, um das Netzwerk zu schützen, wenn der Schaden angerichtet ist. Denn moderne DDI-Lösungen können Router, Switches und Load Balancer (d. h. alle Layer-2- und Layer-3-Geräte) zentral und einfach registrieren und so für Transparenz im Netz sorgen. Durch die Einsicht in den Datenverkehr, des Verhaltens jedes Geräts im Netzwerk und dem Fakt, dass mehr als 90 % der Malware auf ihrem Weg in und aus dem Netzwerk das DNS nutzt, kann die Integration von DDI-Metadaten in den Sicherheits-Stack eines Unternehmens dazu beitragen, Hacker so früh wie möglich zu erkennen. Das bedeutet: Selbst, wenn die Mitarbeiter und Firewalls die Angreifer nicht als solche erkennen, tut es die DNS Security Lösung. So können die richtigen Maßnahmen ergriffen werden, bevor ein schlimmerer Schaden entsteht.

Dazu ein Beispiel der Datenexfiltration. Über die DNS-Protokolle können kleine Datenpakete unerkannt aus dem Unternehmensnetzwerk herausgeschmuggelt werden. Dazu zerlegt die Malware die Daten in kleinste Bruchstücke, verschlüsselt sie und sendet diese unkenntlich gemachten Datenschnipsel mit jeder Anfrage zu der von den Angreifern registrierten Domain. Dort müssen die Fragmente, die beispielsweise sensible Informationen wie personenbezogene Daten enthalten, nur noch zusammengesetzt werden und schon haben sie das Unternehmen verlassen.

ML kann verdächtigen DNS-Traffic erkennen

Herkömmliche Firewalls haben quasi keine Chance dies zu erkennen. Das ändert sich, sobald DNS auch als Security-Layer genutzt wird. Moderne Lösungen nutzen hier Machine Learning, um regulären von verdächtigem DNS-Traffic zu unterscheiden. Die verdächtige Kommunikation wird sofort gestoppt, die Daten verlassen das Unternehmen nicht und das Security-Team kann direkt weitere Ermittlungen anstellen und gegebenenfalls auch sofort Geräte in Quarantäne schicken. Der Schlüssel zur optimalen Anwenderfreundlichkeit ist die schnelle Bereitstellung und der hohe Automatisierungsgrad. Die Implementierung solcher Lösungen ist denkbar einfach und kann in kürzester Zeit ohne große Downtime erfolgen. Ein erfahrener Partner für die Implementierung kann Unternehmen dabei helfen, den Weg zur Sicherung des Netzes über DNS zu ebnen.

Mit „IP Use After Free Attacken“ haben die Angreifer das nächste Level der Täuschung erreicht. Der Faktor Mensch bleibt, wie im Infoblox State of Security Report 2022 schon aufgezeigt, das wohl wichtigste Einfallstor für Cyberkriminelle, das mit der neuen Methode nur noch offener steht. Da aber auch für die Hacker fast die komplette Kommunikation mit ihrer Malware mit Netzwerk-Basisdiensten in Berührung kommt, sollten Sicherheitsverantwortliche vor allem in diesem Bereich aufrüsten, um den neuen Bedrohungen die Stirn bieten zu können.

Steffen Eid

Manager, Solution Architects – Central Europe bei Infoblox

Roger Homrich

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

1 Tag ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

1 Tag ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

2 Tagen ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago