Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Vergiftetes DNS

Das Internet Storm Center analysiert drei Angriffe auf DNS-Server im März 2005. Tausende von Anwendern -- darunter viele in Firmen -- wurden dabei auf Web-Seiten umgeleitet, die versuchten, Spyware zu installieren.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 33 Min.
Security
Von
  • Kyle Haugsness
Inhaltsverzeichnis

Dies ist eine Analyse von Kyle Haugsness und dem Internet Storm Center. heise Security veröffentlicht die deutsche Übersetzung mit freundlicher Genehmigung des ISC. Das Original finden Sie hier.

Anmerkung: Am 3. April ist dieser Vorgang noch nicht vollständig geklärt. Wir werden diesen Text aktualisieren, sobald mehr Details verfügbar sind.

Am 3. März 2005 gegen 22:30 GMT gingen beim SANS Internet Storm Center Berichte von mehreren Sites ein, dass Anwender durch Vergiften des DNS-Caches auf Web-Seiten umgeleitet wurden, die Schadsoftware enthalten. Als der Diensthabende für den 4. März habe ich diese Vorgänge im Lauf der nächsten Stunden und Tage untersucht. Dieser Report soll einige meiner Ergebnisse für die Internet-Gemeinde dokumentieren.

Die ursprünglichen Berichte enthielten starke Hinweise auf DNS Cache Poisoning, allerdings schien auch irgendwie Spyware/Adware/Malware involviert zu sein. Nach einer vollständigten Analyse stellte sich heraus, dass eine ganze Reihe von Aspekten bei dem Angriff eine Rolle spielten: dynamisches DNS, DNS Cache Poisoning, ein Fehler in Symantecs Firewall/Gateway-Produkten, Standardeinstellungen in Windows NT/2000, Spy/Adware und mindestens fünf kompromittierte Unix Web-Server. Hinweisen zufolge könnte der Angriff bereits am 22. Februar begonnen haben, betraf da aber zunächst nur wenige Anwender.

Am 24. März erhielten wir Berichte über einen anderen DNS-Poisoning-Angriff, der sich allerdings nur auf wenige Leute auswirkte. Er wird im weiteren als der "zweite Angriff" referenziert.

Nachdem wir die Situation nun über mehrere Wochen beoabachtet haben, wird klar, dass der oder die Angreifer ihre Methoden und Werkzeuge weiter ändern, um Web-Seiten-Abrufe auf andere kompromittierte Server umzuleiten. Daraus wurde der "dritte Angriff", der am 1. April immer noch andauert.

An dieser Stelle ist ein Dank an all diejenigen angebracht, die uns Berichte eingeschickt, bei der Analyse geholfen und Log-Dateien bereit gestellt haben. Das Internet Storm Center ist eine Initiative von Freiwilligen und je besser die Informationen sind, die wir aus der Community erhalten, desto bessere Analysen können wir erstellen und an die Community zurückgeben.

  1. Wie können andere helfen?
  2. Was muss ich als Betroffener tun?
  3. Welche Software ist angreifbar?
  4. Ich bin ein Modem/ISDN/DSL-Nutzer -- bin ich angreifbar?
  5. Wo kann ich testen, ob meine Site angreifbar ist?
  6. Was ist DNS Cache Poisoning überhaupt?
  7. Warum machen die das?
  8. Wurden DNS Cache Poisoning Angriffe nicht schon vor 8 Jahren unmöglich gemacht?
  9. Was war der Auslöser der Angriffe?
  10. Wie haben diese Angriffe genau funktioniert?
  11. Welche Domain-Namen wurden umgeleitet?
  12. Welche Sites waren betroffen?
  13. Welche Schädlinge wurden auf meinem System installiert, wenn ich die bösartigen Server besucht habe?
  14. Gibt es Pakete?
  15. Wie siehts mit Snort-Regeln aus?

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten