Bedrohungsanalyse, Teil 2
Fahndung mittels PDNS
Nachdem es in Teil 1 dieses Zweiteilers (siehe Link) darum ging, mittels Whois Verbindungen zwischen bösartigen Domains und möglichst auch den Akteuren zu identifizieren, rückt nun Teil 2 Passive DNS (PDNS) in den Blickpunkt. Mit PDNS erfahren Sicherheitsforscher, wie eine Domäne in der Vergangenheit zum Einsatz kam.
DNS (Domain Name System) ersetzt schwer merkbare numerische IP-Adressen durch leicht memorierbare Domänennamen. Dieses "Telefonbuch" des Internets löste in dessen Anfangszeiten ein enormes Problem hinsichtlich der Benutzerfreundlichkeit, ließ aber leider auch Raum für Missbrauch. Im Gegensatz zu einem Buch auf Papier, das statisch bleibt, bis eine neue Version veröffentlicht wird, ermöglicht DNS laufende dynamische Updates, wodurch das System flexibler ist: Eigentümer von Domänennamen können ihre Domain-IP-Zuordnung aktualisieren, so oft sie wollen, und Benutzer erhalten dennoch die richtigen Suchergebnisse, da die Abfragen dynamisch sind.
Soll ein Computer die zu einer Domäne zugehörige IP-Adresse finden, sendet er eine Abfrage an einen rekursiven DNS-Server, der auf eine Reihe von DNS-Servern zugreift, um eine Antwort zu erhalten. Eine DNS-Antwort enthält eine Antwort auf die Frage und die Informationen, die der Computer benötigt. Eine vereinfachte Antwort für eine Abfrage für www.google.com wäre www.google.com A 65.199.32.22. An erster Stelle steht der abgefragte Name, gefolgt von "A", dem Datensatztyp, und schließlich einer IPv4-Adresse, die Google mit der Domain verbunden hat. Gültig ist diese Antwort für einen bestimmten Zeitraum (als "Time to Live" oder TTL bekannt), die Tage oder länger sein kann, aber oft sehr kurz ist. Aufgrund der Dynamik des Systems ist die Zuordnung einer Domain zu einer IP kurzlebig: Ein DNS-Server kann dem Nutzer keine Auskunft geben, mit welche Domäne die IP-Adresse eines soeben aufgelösten Domänennamens vor fünf Jahren verbunden war. Darüber hinaus gibt es keine Möglichkeit für die umgekehrte Zuordnung, mittels derer alle Domänennamen zu einer IP-Adresse zu finden wären. Passive DNS wurde eingeführt, um dieses und andere Probleme bei der Verfolgung des DNS-Missbrauchs zu lösen.
Funktionsweise von PDNS
Florian Weimer hat PDNS 2004 konzipiert und auf der First-Konferenz 2005 erstmals vorgestellt. Die Technik verfolgt ein ziemlich einfaches Konzept: Ein Netzwerkgerät (Sensor) erfasst alle DNS-Antworten und leitet sie an eine zentrale Datenbank, die alle relevanten Informationen protokolliert: die angefragte Domain, die Antwort und einen Zeitstempel, wann die Anforderung erfolgte. Damit steht ein historischer Index von IP-zu-Domain- und Domain-zu-IP-Zuordnungen bereit, die im überwachten Netzwerk aufgetreten sind.
Dass die Datenbank nur Informationen aus dem Netzwerk enthält, die der Sensor überwacht, ist eine der großen Herausforderungen für die PDNS-Nutzer - es sei denn, die Daten von diesen Systemen werden in einer einzigen Abfrageschnittstelle verschmolzen und den Analytikern stehen unterschiedliche Datensätze zur Verfügung. Wurde eine Domain noch nie im Netzwerk abgefragt, werden keine Daten über sie vorliegen. Es gibt aber mehrere Teillösungen für dieses Problem.
Neue Einblicke
Einem Analytiker kann die Verbindung zwischen zwei Komponenten in einem Angriff neue Einblicke liefern. Beispielsweise lässt sich so feststellen, dass sich zwei bisher nicht zusammenhängende Angriffe einen Command-and-Control-Server teilen oder über noch unentdeckte Infrastruktur ausgeführt worden sein können.
So veröffentlichte Palo Alto Networks im Juli 2015 einen Beitrag über einen Angriff auf die US-Regierung durch eine APT-Gruppe (Advanced Persistent Threat) namens UPS, auch als APT3 bekannt. Die Daten zeigten, dass zwei Subdomänen einer scheinbar legitimen Website (rpt.perrydale.com und report.perrydale.com) bei dem Angriff Verwendung fanden. DNS-Abfragen für diese Subdomänen im Vergleich zur legitimen "www"-Domain (www.perrydale.com) ergaben, dass die "www"-Domain auf einer IP-Adresse in den Vereinigten Staaten gehostet war, wohingegen die anderen Sub-Domains zu einer IP-Adresse in der Ukraine führten. Die Forscher verwendeten PDNS, um nach allen anderen Domains mit der ukrainischen IP-Adresse zu suchen.
Sofort fanden sich drei weitere Subdomänen mit verdächtigen Namen (darunter "wwww"), die Teil der Angriffskampagne gewesen sein könnten. Eine zusätzliche Analyse mittels PDNS ergab, dass diese Sub-Domains ebenfalls gefährlich waren.
Trotz der Vorteile der Verwendung von PDNS, um Angriffe miteinander in Verbindung zu setzen, ist es wichtig zu verstehen, dass nicht jede Verbindung gültig ist. In folgenden Fällen ist Vorsicht geboten.
Domänennamen wechseln Inhaber: Eine Domain, die vor drei Jahren bei einem Angriff zum Einsatz kam, ist wahrscheinlich abgelaufen und wurde von einer völlig anderen Stelle neu registriert. Dies könnte ein Domänennamenhändler oder eine ganz normale Person sein. Anhand von Whois-Daten lässt sich erkennen, wann diese Veränderungen erfolgten; dies hilft, die Gültigkeit dieser Verbindungen zu bewerten.
IP-Adressen wechseln Inhaber (und können geteilt werden): In der gleichen Weise, wie ein Domänenname von einem Individuum zum anderen übertragbar ist, verwenden oft viele verschiedene Instanzen IP-Adressen, manchmal gleichzeitig. Dies ist in der Ära der Cloud-Services, in der ein Server erstellt und auf Knopfdruck entfernt werden kann, besonders wichtig geworden. Ohne Kenntnis, wann die IP-Adresse unter der Kontrolle eines Akteurs war, ist eine Beziehung von IP zu Domain ungültig.
Parking-Websites und Sinkholes sind überall: Im Zuge der Analyse lässt sich über eine IP-Adresse das Hosting von Tausenden von Domänennamen ermitteln. Ein häufiges Szenario ist, dass der Domänenname abgelaufen ist und eine Person diesen neu registriert hat, um ihn in der Zukunft zu einem höheren Preis zu verkaufen. Diese Domänen sind in der Regel auf einem Server "geparkt", auf dem der Domänenname als "zum Verkauf" gelistet ist. Diese IP-Adresse sollte man für alle Zusammenhänge als ungültig betrachten. In einem zweiten gängigen Szenario schaffen Sicherheitsforscher ein "Sinkhole", auf das viele zuvor böswillige Domänennamen verweisen, um Daten zu sammeln. Ähnlich wie bei den Parking-Websites sind diese Sinkholes nicht sinnvoll, um Verbindungen herzustellen, aber ein klares Zeichen dafür, dass jemand anderes Untersuchungen vorgenommen hat.
Wie fängt man an?
Eine IT-Organisation kann einen eigenen Passive-DNS-Sensor wie Dnslogger nutzen, der Informationen über das eigene Netzwerk liefert. Dies wäre aber nur ein kleiner Ausschnitt aus der ganzen Welt. Ein Einblick in die eigenen DNS-Anfragen ist sicherlich wertvoll, aber aus der Perspektive der Bedrohungsanalyse ist eine umfassendere Sicht nötig. Es gibt viele PDNS-Quellen im Netz, die man abfragen kann, um die Menge verfügbarer Informationen zu erweitern, darunter Virustotal Passive DNS, BFK und Circl.lu. Der Passive-DNS-Dienst Farsight aggregiert Daten zahlreicher PDNS-Sensoren. Um es sich so einfach wie möglich zu machen, empfiehlt sich ein Blick auf Passivetotal, das viele dieser Quellen in einer einzigen Schnittstelle mit zusätzlichen Funktionen zusammenführt.
Unabhängig davon, wie man PDNS in den Arbeitsablauf einbaut, ist es ein wichtiges Instrument, das während der Bedrohungsanalyse zur Hand sein sollte. Es lässt sich nicht nur einsetzen, um aktive Echtzeitbedrohungen zu identifizieren, sondern auch zur Visualisierung und Kartierung der gegnerischen Infrastruktur. Dies hilft dabei, die entscheidenden Fragen "wer", "was", "wann", "warum" und "wie" zu beantworten und das Puzzle der Angriffsanalyse weiter zusammenzufügen.
Lesen Sie mehr zum Thema
