Seite 4: DNS Cache Poisoning Angriffe

Inhaltsverzeichnis

Wurden DNS Cache Poisoning Angriffe nicht schon vor 8 Jahren unmöglich gemacht?

Ein kleiner Ausflug in die Vergangenheit... Cache-Poisoning ist seit geraumer Zeit bekannt. Damals tauchten einige sehr heftige Fehler in BIND und auch einige Designfehler auf. DJB-Fans stellen fest, dass auch djbdns seit langem vor Cache-Poisoning geschützt ist. Im Grunde ist die Unix-basierte Software bereits seit einiger Zeit vor Cache-Poisoning geschützt, aber da könnte natürlich immer noch irgendwo ein Design-Fehler oder ein Bug entdeckt werden. Uns ist nicht klar, warum Microsoft die Standardeinstellung von Windows NT4 und 2000 unsicher belassen hat (Sie können hier gerne ihren Lieblingsspruch oder -witz zu Microsoft und Sicherheit einfügen -- aber bitte behalten Sie ihn für sich).

Was war der Auslöser der Angriffe?

Es ist uns nicht gelungen, den genauen Auslöser für die Angriffe herauszufinden. Es gibt auch so viele Möglichkeiten, eine DNS-Anfrage zu einem bösartigen DNS-Server auszulösen, dass es eigentlich keine Rolle spielt. Es geht ganz einfach. Also statt sich auf den Auslöser zu konzentrieren, sollten Administratoren lieber ihre DNS-Software absichern.

Wie haben diese Angriffe genau funktioniert?

Während des ersten Angriffs (von circa 22.2. bis 12.3.2005) wurden die Opfer auf einen der folgenden drei Server umgeleitet: 217.160.169.87, 207.44.240.79, 216.127.88.131. Deren Domain-Namen waren www.7sir7.com, 123xxl.com und abx4.com. Sie wurden kurz vor dem Angriff erworben. Alle drei Adressen zeigten auf kompromittierte Unix-Web-Server bei Web-Hostern. Den meisten Anwendern fiel die Umleitung beim Surfen auf, wir haben aber auch Berichte über fehlgeschlagene E-Mail-Zustellungsversuche erhalten und Untersuchungen der Log-Dateien der Server zeigten, dass auch FTP-, IMAP/POP und SSH-Logins umgeleitet wurden. Die Angreifer haben auf den Web-Servern zwei Internet-Explorer-Exploits installiert, die beim Abruf der Web-Seite ausgeführt wurden und bei Erfolg ein Spyware-Programm installierten.

Während des zweiten Angriffs (25.3.) leiteten zwei bösartige Web-Server die Leute um: 222.47.183.18 und 222.47.122.203. Sie leiteten alle Anfragen auf sich selbst, wo eine Web-Seite Medikamente anpries. Sie enthielt jedoch keine Schad-Software. Das war eher das Werk eines Spammers. Untersuchungen zu den IP-Adressen und der darauf registrierten Domain-Namen ergaben, dass sie vermutlich einem Spammer gehören, der über 300 weitere Domain-Namen registriert hat. Die Web-Seiten zeigten den Namen "megapowerpills.com" an, der jedoch als echte Web-Site auf einer anderen IP-Adresse existiert.

Der dritte Angriff (25.3. bis 1.4.2005) ist eine direkte Fortsetzung des ersten; ebenfalls mit dem Ziel Spyware zu installieren. Einer der drei Server aus dem ersten Angriff wurde nie richtig gesäubert, der Angreifer kam zurück und setzte ein neues Poisoning-Tool ein. Diesmal gab der DNS-Server folgende IP-Adressen aus: 209.123.63.168, 64.21.61.5, 205.162.201.11. Sie alle beherbergen die gleiche einfache Webseite, die Anwender auf die beiden URLs

vparivalka .org /G7 /anticheatsys.php?id=36381
find-it .web-search .la

umgeleitet hat (sie wurden durch uns stillgelegt).