Gegen Domain-Hijacking: ICANN will verstärkt über Angriffe auf das DNS aufklären

Die jüngsten Angriffe auf die DNS-Infrastruktur von Firmen und Regierungsinstitutionen im Nahen Osten sind laut dem Security Stability and Advisory Committee (SSAC) der ICANN die bisher größten derartigen Angriffe. Beim Treffen in Kobe gaben Experten Einblicke in ihre Post-Mortem-Analysen und forderten die private Netzverwaltung auf, mehr für Absicherungsmechanismen zu werben.

Die laut Microsoft und CrowdStrike bereits seit Februar 2017 laufende Attacke zielt auf Mitarbeiter von Firmen und Regierungsstellen im Nahen Osten, darunter im Irak, Libanon, Ägypten und den Staaten der arabischen Halbinsel. Zu den Angreifern ließ Sicherheitsexperte Timothy April, Mitarbeiter von Akamai und Mitglied im SSAC, nichts verlauten. Mehrere Organisationen sind nach wie vor mit der Analyse beschäftigt.

April bestätigte die schon von anderen Stellen beschriebenen Attacken. Demnach haben Angreifer zum Beispiel mittels Phishing erbeutete Zugangsdaten von DNS-Administratoren genutzt, um über Registries und Registrare Domain-Einträge etwa von Mail-Servern auf eigene Server umzuleiten. Die Angreifer haben ihre Server mit Proxy- und Loadbalancer-Funktionen sowie mit TLS-Zertifikaten präpariert, die sie sich per Lets-Encrypt- oder Comodo-Dienst passend zum Namen der umgeleiteten Domain ausstellen ließen. So gelang es, die TLS-verschlüsselte Kommunikation zwischen Mail-Clients und Mail-Servern zunächst völlig unbemerkt aufzubrechen und mitzuschreiben – inklusive Usernamen und Passwörtern.

April führte aus, dass "die Angreifer ihre Methoden von Fall zu Fall variiert haben". Alle Fälle zusammengenommen, seien "sowohl Nameserver-Records als auch Glue- und DS-Records" manipuliert worden. Den Ablauf einer dieser Attacken haben wir detailliert im Beitrag DNSpionage: Massive Angriffe auf Mail- und VPN-User beschrieben. Der NS-Record definiert, welche Nameserver für eine Zone zuständig sind, den Glue-Record nutzen DNS-Resolver, um autoritative Nameserver zu finden und der DS-Record enthält Public-Key-Informationen, die zur DNSSEC-Validierung und damit Authentifizierung eines autoritativen Nameservers erforderlich ist.

Sehr ratsam: Registry-Lock einschalten

Harald Alvestrand, ehemaliger Vorsitzender der Internet Engineering Task Force und beratendes Mitglied im ICANN-Vorstand, nannte Art und Ausmaß der Attacken besorgniserregend. Seine erste Reaktion sei gewesen, den Registry-Lock auf allen von ihm verwalteten Domains zu aktivieren. Registry-Locks blockieren Domain-Änderungen bis sie der rechtmäßige Nutzer explizit freigibt. Manche Experten forderten daher auf dem Treffen in Kobe, den Registry-Lock per Standardisierung für alle Domains festzuschreiben. Die bei der ICANN versammelten Unternehmen sind sich in diesem Punkt jedoch nicht einig. Manche Registries wandten ein, dass die nachträgliche Aktivierung den Aufwand erhöht. Da sich Registries unterschiedlich organisieren und verschiedene Tarifmodelle umsetzen, sei die ICANN für diese Frage gar nicht zuständig.

Überhaupt gebe es in der ICANN-Gemeinde leider keinen Konsens über die notwendigen Absicherungsschritte, teilte der CTO der ICANN, David Conrad auf Anfrage von heise online mit. Die ICANN-Führung hatte nach Bekanntwerden der Angriffe eine ausführliche Liste von Abwehrmaßnahmen veröffentlicht und empfohlen, DNSSEC auf breiter Front einzusetzen, also möglichst alle Domains zu signieren und grundsätzlich validierende Resolver zu verwenden.

DNSSEC als Werkzeug der Cyber-Hygiene

"DNSSEC ist eines der Werkzeuge zur allgemeinen Verbesserung der Cyber Hygiene", erläuterte Conrad. Er verwies auch darauf, dass "bei dieser speziellen Attacke der Zugang zum Registrar" im Fokus stand und die ICANN auch gegen solche Attacken bereits Empfehlungen herausgegeben habe. Die dringlichste Aufgabe seiner Organisation sei laut Conrad daher, den Absicherungsmaßnahmen mehr Aufmerksamkeit zu verschaffen. Den für Anfang Mai 2019 geplanten Global Domain Summit wollen die Experten daher nutzen, um erneut Angriffspunkte und Abwehrmechanismen im Detail vorzustellen.

Die ICANN rückt die Sicherheitstechnik DNSSEC unter anderem deshalb in den Fokus, weil am Anfang der Attacken stets unsignierte Domains standen. Zugriffe darauf konnten sie mit wenig Aufwand auf eigene Server umleiten und darüber zum Beispiel infektiöse Software mit Remote-Control-Funktionen verteilen. Dafür genügen im Prinzip schon glaubwürdig aussehende URLs, weil eine Instanz fehlt, die überprüft, ob eine angesteuerte IP-Adresse tatsächlich zur beabsichtigten Domain gehört. Validierende Resolver können den Zusammenhang prüfen, wenn die angesteuerte Domain signiert ist – die einfache Umleitung klappt dann nicht, der Angriff läuft ins Leere. (dz)