Bedrohungsforschung

Globale DNS-Hijacking-Kampagne: groß angelegte Manipulation von DNS-Datensätzen

Einleitung

Die FireEye Mandiant Incident Response- und Intelligence-Teams haben eine groß angelegte DNS-Hijacking-Kampagne aufgedeckt, die Dutzende Domains von staatlichen Stellen, Telekommunikations- und Internet-Infrastrukturunternehmen im Nahen Osten, in Nordafrika, Europa und Nordamerika betreffen. Wir haben zwar derzeit keine Hinweise darauf, dass es sich um eine von uns überwachte Hackergruppe handelt, aber ersten Erkenntnissen zufolge hat der Hacker bzw. die Hackergruppe Verbindungen zum Iran. Diese Kampagne hatte ein nahezu beispielloses Ausmaß mit Opfern auf der ganzen Welt und war mit ihren Taktiken äußerst erfolgreich. Wir beobachten die Aktivitäten schon seit einigen Monaten und verfolgen und analysieren die innovativen Taktiken, Techniken und Prozesse (TTP) der Hacker. Sofern möglich, arbeiten wir auch eng mit Opfern, Sicherheitsorganisationen und Strafverfolgungsbehörden zusammen, um die Folgen eines Vorfalls zu mildern und/oder zukünftige Angriffe zu vermeiden.

Bei dieser Kampagne werden zwar auch einige herkömmliche Taktiken verwendet, doch sie unterscheidet sich von anderen iranischen Angriffen, da DNS-Hijacking im großen Maßstab eingesetzt wird. Die Angreifer verschaffen sich auf diese Weise Zugriff auf die Zielsysteme und nutzen dieses Einfallstor dann auf unterschiedlichste Weise aus. In diesem Blogbeitrag beschreiben wir drei unterschiedliche, von uns beobachteten Methoden, wie DNS-Datensätze manipuliert und Systeme infiltriert werden. Bei Methode 1 wird unter anderem ein Let's Encrypt-Zertifikat erstellt und der A-Datensatz verändert. Dieses Verfahren wurde bereits vom Cisco TALOS-Team beschrieben und ist eine untergeordnete Variante der Taktik, die wir beobachtet haben.

Potenzielle finanzielle Unterstützung der iranischen Regierung

Die Aktivität wurde bisher noch keiner Hackergruppe zugeordnet, die Analysen sind noch im Gange. Die in diesem Beitrag beschriebenen DNS-Datensatzmanipulationen sind auffällig und komplex, wurden aber nicht zwangsläufig von einer einzigen Hackergruppe ausgeführt. Die Aktivitäten fanden in verschiedenen Zeiträumen, Infrastrukturen und bei unterschiedlichen Serviceanbietern statt.

  • Zwischen Januar 2017 und Januar 2019 wurden mehrere solcher Aktivitätscluster beobachtet.
  • Dabei kamen unterschiedliche Domains und IP-Adressen zum Einsatz, die von den Angreifern kontrolliert wurden.
  • Für die Verschlüsselungszertifikate und VPS-Hosts wurden diverse Anbieter ausgewählt.

Die ersten Analyseergebnisse deuten darauf hin, dass diese Aktivitäten von Personen im Iran durchgeführt wurden und die Auswahl der Ziele mit den Interessen dere iranischen Regierung deckt.

  • Das Team von FireEye Intelligence konnte den Zugriff von iranischen IP-Adressen auf Computer nachweisen, die zum Abfangen, Aufzeichnen und Weiterleiten des Netzwerkverkehrs verwendet wurden. Der geografische Standort einer IP-Adresse ist nur ein schwacher Beweis, doch diese IP-Adressen wurden schon zuvor nach einem Angriff erfasst, der einer iranischen Cyberspionagegruppe zugeordnet werden konnte.
  • Zu den Angriffszielen zählen staatliche Stellen im Nahen Osten, deren vertrauliche Informationen für die iranische Regierung von Interesse wären, aber nur einen relativ geringen finanziellen Wert haben.

Details

In den folgenden Beispielen steht victim[.]com für die Domain des Opfers und private IP-Adressen für die vom Angreifer kontrollierten IP-Adressen.

Methode 1 – DNS-A-Datensätze

Bei der ersten Angriffsmethode änderte der Hacker den DNS-A-Datensatz (siehe Abbildung 1).


Abbildung 1: DNS-A-Datensatz

  1. Der Angreifer meldet sich bei PXY1 an, einem Proxy, der für nicht nachverfolgbare Internetsuchvorgänge und als Ausgangspunkt für die Erkundung der Infrastruktur dient.
  2. Der Angreifer meldet sich mit den zuvor gestohlenen Anmeldedaten im Administrationsbereich des DNS-Anbieters an.
  3. Der A-Datensatz (z. B. mail[.]victim[.]com) verweist derzeit auf 192.168.100.100.
  4. Der Angreifer ändert den A-Datensatz, sodass dieser jetzt auf 10.20.30.40 (OP1) verweist.
  5. Der Angreifer meldet sich über den PXY1 bei OP1 an.
    • Es wird ein Proxy implementiert, der alle offenen Ports abhört und mail[.]victim[.]com spiegelt.
    • Ein Load Balancer verweist auf 192.168.100.100 [mail[.]victim[.]com], um den Benutzerdatenverkehr weiterzuleiten.
  6. Mithilfe von Certbot wird ein Let’s Encrypt-Zertifikat für mail[.]victim[.]com erstellt.
    • Im Rahmen dieser Kampagne wurden diverse DCV-Anbieter (Domain Control Validation) ausgenutzt.
  7. Ein Benutzer ruft mail[.]victim[.]com auf und wird zu OP1 weitergeleitet. Über das Let’s Encrypt-Zertifikat können die Browser eine Verbindung herstellen, ohne dass Fehler zurückgespielt werden, da die Zertifizierungsstelle Let's Encrypt Authority X3 als vertrauenswürdig eingestuft wird. Die Verbindung wird an den Load Balancer übergeben, der eine Verbindung zur korrekten Adresse mail[.]victim[.]com herstellt. Der Benutzer ist sich keiner Änderungen bewusst und hat höchstens eine kurze Verzögerung bemerkt.
  8. Benutzername, Passwort und Anmeldedaten für die Domain werden ausgelesen und gespeichert.
Methode 2 – DNS-NS-Datensätze

Bei der zweiten Angriffsmethode änderten die Hacker den DNS-NS-Datensatz (siehe Abbildung 2).


Abbildung 2: DNS-NS-Datensatz

  1. Der Angreifer meldet sich wie zuvor bei PXY1 an.
  2. Dieses Mal nutzt er jedoch einen kompromittierten Registrar oder eine ccTLD aus.
  3. Der Nameserver-Datensatz ns1[.]victim[.]com verweist momentan auf 192.168.100.200. Der Angreifer ändert den NS-Datensatz, sodass er auf ns1[.]baddomain[.]com [10.1.2.3] verweist. Der Nameserver gibt die IP-Adresse 10.20.30.40 (OP1) zurück, wenn mail[.]victim[.]com aufgerufen wird, aber die Original-IP-Adresse 192.168.100.100 für www[.]victim[.]com.
  4. Der Angreifer meldet sich über den PXY1 bei OP1 an.
    • Es wird ein Proxy implementiert, der alle offenen Ports abhört und mail[.]victim[.]com spiegelt.
    • Ein Load Balancer verweist auf 192.168.100.100 [mail[.]victim[.]com], um den Benutzerdatenverkehr weiterzuleiten.
  5. Mithilfe von Certbot wird ein Let’s Encrypt-Zertifikat für mail[.]victim[.]com erstellt.
    • Im Rahmen dieser Kampagne wurden diverse DCV-Anbieter (Domain Control Validation) ausgenutzt.
  6. Ein Benutzer ruft mail[.]victim[.]com auf und wird zu OP1 weitergeleitet. Über das Let’s Encrypt-Zertifikat können Browser eine Verbindung herstellen, ohne dass Fehler zurückgegeben werden, da die Zertifizierungsstelle Let's Encrypt Authority X3 als vertrauenswürdig eingestuft wird. Die Verbindung wird an den Load Balancer übergeben, der eine Verbindung zur korrekten Adresse mail[.]victim[.]com herstellt. Der Benutzer ist sich keiner Änderungen bewusst und hat höchstens eine kurze Verzögerung bemerkt.
  7. Benutzername, Passwort und Anmeldedaten für die Domain werden ausgelesen und gespeichert.
Methode 3 – DNS Redirector

Es wurde auch noch eine dritte Methode beobachtet, die in Verbindung mit den Techniken aus Abbildung 1 oder Abbildung 2 zum Einsatz kam. Dabei wurde ein DNS Redirector verwendet (Abbildung 3).


Abbildung 3: DNS-Netzwerkgerät

Der DNS Redirector ist ein Netzwerkgerät, mit dem die Angreifer auf DNS-Anfragen reagieren.

  1. Eine DNS-Anfrage für mail[.]victim[.]com wird an OP2 gesendet (dem zuvor geänderten A- oder NS-Datensatz entsprechend).
  2. Wenn die Domain zu victim[.]com gehört, gibt OP2 eine vom Angreifer kontrollierte IP-Adresse zurück und der Benutzer wird zu der vom Angreifer kontrollierten Infrastruktur weitergeleitet.
  3. Gehört die Domain jedoch nicht zu victim.com, sondern lautet z. B. google[.]com, sendet OP2 eine DNS-Anfrage an ein legitimes DNS, um die IP-Adresse zu erhalten und an den externen Benutzer weiterzuleiten.

Angriffsziele

Zahlreiche Unternehmen wurden Opfer dieser Art der DNS-Datensatzmanipulation und gefälschten SSL-Zertifikaten. Dazu gehörten Telekommunikationsunternehmen,  ISPs, Internet-Infrastrukturanbieter, staatliche Stellen und kommerzielle Unternehmen mit vertraulichen Informationen.

Andauernde Ursachenforschung

Es ist schwierig, einen einzigen Angriffsvektor für jede Datensatzänderung auszumachen, und möglicherweise hat der Hacker oder die Hackergruppe verschiedene Methoden verwendet, um sich Zugriff auf die oben beschriebenen Ziele zu verschaffen. Kunden von FireEye Intelligence haben in der Vergangenheit bereits Berichte über komplexe Phishing-Angriffe erhalten, die ein Hacker nutzte, der auch DNS-Datensatzmanipulationen durchführt. Das genaue Verfahren für die Änderung des DNS-Datensatzes ist zwar nicht bekannt, aber wir vermuten, dass zumindest einige Datensätze verändert werden konnten, weil sich der Hacker Zugriff auf das Domain-Registrar-Konto des Opfers verschafft hatte.

Abwehrmaßnahmen

Es ist schwierig, diese Art von Angriffen abzuwehren, da wertvolle Informationen gestohlen werden können, selbst wenn der Angreifer nie direkten Zugriff auf ein Unternehmensnetzwerk hatte. Die folgenden Schritte helfen dabei, Ihr Unternehmen zu schützen:

  1. Implementieren Sie eine Multi-Faktor-Authentifizierung für das Administrationsportal Ihrer Domain.
  2. Validieren Sie Änderungen an den A- und NS-Datensätzen.
  3. Überprüfen Sie mit Ihrer Domain verknüpfte SSL-Zertifikate und entfernen Sie alle schädlichen Zertifikate.
  4. Validieren Sie die Quell-IP-Adressen in Ihren OWA- und Exchange-Logdateien.
  5. Führen Sie eine interne Untersuchung durch, um festzustellen, ob sich Hacker Zugriff auf Ihre Umgebung verschaffen konnten.

Fazit

Diese DNS-Hijacking-Kampagne und ihr enormes Ausmaß zeigen, dass iranische Hacker ihre Taktiken stetig weiterentwickeln. Dieser Beitrag beschreibt nur einen Teil der TTP, den wir kürzlich bei diversen Unternehmen beobachten konnten. Wir möchten damit potenzielle Opfer warnen, damit sie entsprechende Abwehrmaßnahmen ergreifen können.