29.02.2012, 11:59 Uhr

Hacker steuern Botnets via DNS

An der derzeit in San Francisco stattfindenden RSA-Sicherheitskonferenz warnen Experten davor, dass Malware-Schreiber vermehrt das Domain Name System (DNS) für die Steuerung von Botnets missbrauchen.
Botnetze werden zunehmend via DNS gesteuert
Die Zahl der Malware-Angriffe, die ihre Anweisungen durch das DNS erhalten, wird in Zukunft zunehmen. Derweil sind die wenigsten Firmen auf diesen neuen Kanal vorbereitet und scannen ihr Netzwerk entsprechend. Davor hat Ed Skoudis, Gründer von Counter Hack Challenges, an der RSA Conference 2012 eindringlich gewarnt. Hacker verwenden mittlerweile viele Kanäle, um mit ihren Botnetzen zu kommunizieren. Neben traditionellen Wegen wie TCP (Trancmission Control Protocol), IRC (Internet Relay Chat) und HTTP (Hypertext Transfer Protocol), benutzen sie vermehrt auch unorthodoxe Wege wie Twitter-Feeds, Facebook-Wände und sogar Kommentare zu Youtube-Videos. Diese Anweisungen haben dabei etwas gemein: sie können von Firewalls und Einbruchschutz-Systemen auf der Netzwerkebene abgefangen und abgewehrt werden. Das gelte aber nicht für DNS, und die Hacker nutzten dies schamlos aus, warnt Skoudis. Lesen Sie auf der nächsten Seite: Ab und zu sniffen als Lösungsvorschlag DNS werden normalerweise nur für eine sehr präzise und kritsische Funktion verwendet: Sie lösen die alphanumerischen Host-Namen in numerische IP-Adressen auf und umgekehrt. Deshalb wird der DNS-Verkehr auch nicht gescannt, inspiziert oder auf seinem Weg durchs Netz der Netze sonstwie gehindert. Sogenannte IP-Blocklisten sind ebenfalls wirkungslos. Wie Skoudis berichtet, seien in letzter Zeit einige Attacken entdeckt worden, die diesen klandestinen Kommunikationsweg nutzten - Tendenz steigend. Das Problem sei dabei natürlich, dass es nicht möglich sei, jeglichen DNS-Verkehr zu untersuchen, ohne drastische Performance-Einbussen hinnehmen zu müssen. Skoudis schlägt daher vor, mit Hilfe eines Sniffers wenigstens sporadisch in den DNS-Verkehr hineinzuhören, um das Schlimmste zu verhindern. Denn die Hacker-Anweisungen via DNS sind in der Regel länger als der übliche Verkehr und damit zu erkennen. Zumindest dann, wenn die Cyberkriminellen ihre Kommandos nicht vor dem Versand in kleinere Anweisungen aufteilen.


Das könnte Sie auch interessieren