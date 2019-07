DNS, ook wel een beetje bekend als het telefoonboek van het internet, is een belangrijk deel van de wereldwijde infrastructuur van het internet. Dit systeem vertaalt adressen in de cijfers die computers hanteren naar bekende namen zoals wij mensen ze gebruiken. DNS is al heel lang het doelwit van aanvallers die zakelijke of privégegevens proberen te bemachtigen, maar het afgelopen jaar is de situatie erger geworden.

Volgens onderzoeksbureau IDC heeft 82 procent van de bedrijven wereldwijd een DNS-aanval meegemaakt. Onlangs publiceerde de organisatie voor de vijfde maal zijn jaarlijkse Global DNS Threat Report, dat aan de hand van onderzoek bij 904 organisaties werd samengesteld in opdracht van DNS-beveiliger EfficientIP.

Het onderzoeksrapport stelt dat de gemiddelde kosten die gepaard gaan met een DNS-aanval met 49 procent zijn toegenomen. In Europa worden de gemiddelde kosten geraamd op 1,06 miljoen euro. Bijna de helft van de respondenten (48 procent) geeft aan meer dan een half miljoen euro kwijt te zijn en bijna tien procent zei dat het zo'n 5 miljoen euro kostte per incident. Daarnaast kostte het de meeste organisaties meer dan een dag om de DNS-aanval op te lossen.

"Zorgwekkend is dat daarbij zowel interne als cloudapplicaties waren beschadigd, met een groei van meer dan 100 procent qua downtime voor interne applicaties, wat nu de hoogste schadepost is geworden", schrijft IDC. "DNS-aanvallen zijn van pure brute-force naar geavanceerdere aanvallen gegaan die werken vanuit het interne netwerk. Dit dwingt organisaties om intelligente tools in te zetten tegen malafide insiders."

Sea Turtle

Een geruchtmakende DNS-aanvalscampagne staat bekend onder de naam Sea Turtle en die illustreert wat er aan de hand is. Deze maand meldde Cisco's beveiligingstak Talos dat de mensen achter Sea Turtle hard aan het werk zijn geweest met een nieuwe infrastructuur om hun aanvallen te verbeteren en nu nieuwe slachtoffers bedreigen.

Lees meer over de nieuwe DNS-aanvalsmethodes in onze eerdere artikelen DNS-aanvallen groeiend probleem door nieuwe malware (waarin we Sea Turtle bekijken) en 5 gevaarlijke aanvalstrends van 2019 en verder (waar DNSpionage wordt besproken).

In april gaf Talos een rapport uit waarin Sea Turtle werd benoemd als het eerste geval van een Domain Name Registry die is overgenomen voor spionagedoeleinden. De organisatie stelde dat de DNS-aanval een door staatshackers opgezette aanval is die DNS misbruikt om credentials te verkrijgen, zodat de onverlaten toegang krijgen tot gevoelige netwerken en systemen, zonder dat slachtoffers een manier hebben om dit te detecteren. Dat demonstreert dat ze unieke kennis hebben over hoe ze DNS kunnen manipuleren.

Door controle te krijgen over het DNS van zijn slachtoffer, kan een aanvaller gegevens wijzigen en DNS-records aanpassen om gebruikers naar malafide servers te verwijzen. Gebruikers die deze sites bezoeken, merken daar niets van, schrijft Talos. Na het rapport in april heeft de Sea Turtle-groep zich herpakt en zetten de aanvallers nu in op een nieuwe infrastructuur, wat de onderzoekers van Talos ongebruikelijk vinden: "De meeste aanvallers doen heel voorzichtig zodra ze worden gesnapt, maar deze groep is onverschrokken en zal niet zo snel worden afschrikt", aldus de beveiligingsonderzoekers in een update deze maand.

"Daarnaast ontdekten we een nieuwe DNS-kapingstechniek waarvan we redelijk zeker zijn dat deze verbonden is aan de Sea Turtle-groep. Deze nieuwe methode lijkt daarop in de zin dat aanvallers de records van de nameserver aanpassen en op DNS-requests reageren met vervalste A-records", aldus Talos.

"De nieuwe techniek is alleen gezien bij een aantal zeer gerichte acties. We hebben ook een nieuwe golf slachtoffers opgemerkt, inclusief de registry van een top-level domain van een land (ccTLD) die de DNS-records beheert van elk land dat die landscode gebruikt; deze toegang was gebruikt om aanvullende overheidsorganisaties over te nemen", schrijven de onderzoekers die dieper ingaan op de aanval op Griekse overheidsorganisaties. "Helaas zullen dit soort aanvallen blijven voorkomen totdat we belangrijke wijzigingen doen om DNS beter te beveiligen."

DNSpionage

Een andere dreiging komt van een offensief dat bekendstaat als DNSpionage. Dat gebruikte aanvankelijk twee malafide websites met vacatures erop om doelwitten aan te vallen via Microsoft Office-documenten met malafide macro's. En de aanvallers blijven nieuwe methodes ontwikkelen om DNS te bestormen. Deze aanvallen richten zich vooral op domeinen uit het Midden-Oosten en de Verenigde Arabische Emiraten.

"De verdergaande ontwikkeling van DNSpionage-malware bewijst dat de aanvaller nieuwe manieren vindt om detectie te omzeilen. DNS-tunneling is een populaire methode van exfiltratie voor sommige actoren en recente voorbeelden van DNSpionage laten zien dat we er zorg voor moeten dragen dat DNS net zo nauwlettend wordt gemonitord als een normale proxy of weblogs", aldus Talos. "DNS is in feite het telefoonboek van het internet en als ermee is gerommeld wordt het lastig voor gebruikers om te zien of ze contact maken met legitieme bronnen."

"Een van de grootste problemen met DNS-aanvallen en het gebrek aan bescherming is onze laksheid omdat we op onze lauweren rusten", zegt Craig Williams van Talos. Bedrijven denken dat DNS stabiel is en dat ze zich er geen zorgen over hoeven te maken. "Maar wat we zien met aanvallen als DNSpionage en Sea Turtle is het tegenovergestelde, want aanvallers hebben ontdekt hoe ze dit voor hun eigen doeleinden kunnen misbruiken, hoe ze het kunnen inzetten om credentials zodanig te bemachtigen dat niemand ziet dat het is gebeurd. En dat is een heus potentieel probleem."

IoT-risico's voor DNS

Als je bijvoorbeeld weet dat je nameserver met succes is aangevallen, kun je iedereen dwingen om zijn of haar wachtwoord te wijzigen. Maar als ze achter de registrar aangaan en die verwijst naar het malafide adres, dan weet je het niet omdat niets dat in jouw bezit is aangevallen is, legt Williams uit. Om deze reden zijn deze nieuwe aanvallen zo venijnig. "Als aanvallers dit eenmaal met succes gebruiken, zien andere criminelen dit en denken ze 'hé, ik kan dit inzetten om credentials te roven van sites waarin ik ben geïnteresseerd'", zegt de Talos-onderzoeker.

Een ander gevaar gaat gepaard met de groei van IoT-apparaten. Internetbeheerder ICANN schreef onlangs een rapport over het risico van IoT qua DNS (PDF). "Verschillende metingsonderzoeken wijzen uit dat de proliferatie van IoT-apparaten de DNS-infrastructuur op manieren die we niet eerder hebben gezien onder druk kan zetten", aldus de ICANN.

"Een softwareupdate voor een populair IP-apparaat, die ervoor zorgt dat DNS vaker wordt aangesproken (bijvoorbeeld om willekeurige domeinnamen op te zoeken om te zien of het netwerk beschikbaar is), kan het DNS van individuele netwerken onder druk zetten als miljoenen apparaten de update automatisch tegelijkertijd installeren."

Hoewel dit een programmeerfout is van een individueel apparaat, kan het een significant probleem opleveren bij de beheerders van DNS-infrastructuur. Incidenten als deze zijn al op kleine schaal voorgekomen, maar ze komen wellicht meer voor in de toekomst door de groei van heterogene IoT-apparaten van fabrikanten die hun apparaten uitrollen met controllers die DNS gebruiken, aldus de ICANN.

Volgens de organisatie zullen ook IoT-botnets een toenemende dreiging vormen voor DNS-beheerders. "Grotere DDoS-aanvallen door IoT-bots zijn lastig uit te roeien. Huidige botnetegroottes zitten in de regio van honderdduizenden apparaten. Het bekendste voorbeeld is Mirai met stabiel 400.000 apparaten erin met pieken van 600.000 besmette apparaten. Hajme hangt rond de 400.000, maar dit botnet is nog geen DDoS-aanvallen gestart. [Bij Hajme zou het mogelijk gaan om een worm van een white hat hacker die de malware gebruikt om Mirai buitenspel te zetten, Red.] Met de groei van IoT kunnen aanvallen miljoenen bots bevatten en zo veel grotere DDoS-aanvallen uitvoeren."

Het NCS uit het Verenigd Koninkrijk waarschuwde deze maand voor aanhoudende DNS-aanvallen, met een specifieke focus op DNS-kaping. De organisatie haalde een aantal risico's aan die worden geassocieerd met de toenamen van DNS-kapingen, inclusief:

Het maken van malafide DNS-record . Zo'n aangepast DNS-record kan bijvoorbeeld worden gebruikt om een phisihingwebsite in een voor de organisatie vertrouwd domein te plaatsen. Daarmee kunnen klanten of werknemers worden gephisht. . Zo'n aangepast DNS-record kan bijvoorbeeld worden gebruikt om een phisihingwebsite in een voor de organisatie vertrouwd domein te plaatsen. Daarmee kunnen klanten of werknemers worden gephisht.

Bemachtigen van SSL-certificaten . Domeingevalideerde SSL-certificaten worden toegewezen op basis van aangemaakte DNS-records. Dat betekent dat een aanvaller legitieme SSL-certificaten voor een domeinnaam kan aanvragen, waarmee vervolgens een phishingsite kan worden gebouwd die in alles een authentieke website nabootst. . Domeingevalideerde SSL-certificaten worden toegewezen op basis van aangemaakte DNS-records. Dat betekent dat een aanvaller legitieme SSL-certificaten voor een domeinnaam kan aanvragen, waarmee vervolgens een phishingsite kan worden gebouwd die in alles een authentieke website nabootst.

Transparante proxy's . Een serieus risico dat onlangs is ingezet gaat om het transparant verkeer via een proxy om te leiden om data op te vangen. De aanvaller past hierbij een door de organisatie ingestelde domeinzone aan (bijvoorbeeld A- of CNAME-records) om het verkeer naar het eigen IP-adres door te leiden, wat hun eigen infrastructuur is.

"Een organisatie kan de totale controle over zijn eigen domein verliezen en vaak passen de aanvallers details aan van de eigenaar, zodat het moeilijk te herstellen is", schrijft de NCSC.

Infrastructuur onder vuur

Deze risico's, en andere gevaren, heeft de Amerikaanse overheid ertoe genoopt eerder dit jaar een waarschuwing uit te geven over DNS-aanvallen op overheidsorganisaties. De digitale organisatie CISA van het ministerie van Binnenlandse Veiligheid in de VS heeft alle overheidsorganisaties opgeroepen om de beveiliging van DNS te verstevigen gezien de wereldwijde hackingscampagnes.

De CISA zei in zijn waarschuwing dat het verschillende incidenten volgt die zich richten op de DNS-infrastructuur. Volgens de organisaties hebben aanvallers web- en e-mailverkeer onderschept en omgeleid, en kunnen ze zich richten op andere genetwerkte diensten. Het begint met het overnemen van credentials of een account waarmee ze wijzigingen kunnen aanbrengen in DNS-records. De aanvallers passen vervolgens DNS-records als Mail Exchanger, Address of Name Server aan om ze te vervangen door iets wat ze zelf beheren.

Deze acties stellen een partij in staat om gebruikersverkeer om te leiden naar een eigen infrastructuur voor manipulatie en inspectie voordat het wordt teruggegeven aan een legitieme dienst. Dat betekent een risico dat groter is dan enkel de periode van verkeersomleiding, stelt de CISA. "Omdat de aanvaller waardes van DNS-records aanpassen, kunnen ze ook de legitieme encryptiecertificaten voor de domeinen van een organisatie bemachtigen. Dat leidt ertoe dat omgeleid verkeer ontsleuteld kan worden, waarmee gegevens van de gebruiker kunnen worden ingezien. Omdat het certificaat geldig is voor het domein, krijgen eindgebruikers geen foutmelding", aldus de beveiligingsorganisatie.

De DNSSEC-trein

"Bedrijven zijn potentiële doelwitten - met name bedrijven die gebruikersgegevens verzamelen of zakelijke data door hun applicaties laten lopen - en moeten de waarschuwing van NCSC serieus nemen", zegt Kris Beevers, mede-oprichter en CEO van DNS-beveiligingsbedrijf NS1. "Ze moeten hun DNS-leveranciers en registrars onder druk zetten om DNSSEC en andere best practices qua domeinbeveiliging te implementeren en te standaardiseren. Ze kunnen DNSSEC-signing en andere beveiligingsmaatregelen eenvoudig inzetten. Ze zouden op z'n minst moeten samenwerken met leveranciers en beveiligingsteams om hun implementaties te auditen."

DNSSEC was eerder dit jaar in het nieuws toen de ICANN, naar aanleiding van de toegenomen aanvallen op DNS, opriep dat de community meer aandacht zou moeten schenken aan het implementeren van sterkere DNS-beveiliging. ICANN zegt dat de uitrol van DNSSEC ervoor zorgt dat eindgebruikers ook koppelen aan het domein dat ze willen benaderen. "Hoewel dit niet alle beveiligingsproblemen van internet aanpakt, beveiligt dit wel een kritiek stukje - de directory-lookup - en is het een aanvulling op andere technologieën, zoals SSL (https:) die 'het gesprek' beschermt, en geeft het een platform voor nog te ontwikkelen beveiligingsverbeteringen."

DNSSEC bestaat al sinds ongeveer 2010, maar is nog niet breed genoeg uitgerold: minder dan twintig procent van de DNS-registrars wereldwijd heeft het ingezet, zo stelt de Aziatische registry APNIC. Adoptie loopt achter omdat het gezien werd als optioneel en je een stukje functionaliteit inlevert voor verhoogde beveiliging, legt Beevers uit.

Traditionele DNS-risico's

Hoewel DNS-kaping nu vooral de aandacht krijgt, worden al langer succesvolle methodes ook nog steeds ingezet. Volgens het onderzoek van IDC zijn de populairste methodes wel veranderd vergeleken met vorig jaar: momenteel staat phishing aan de top (47 procent van de aanvallen), terwijl vorig jaar DNS-malware het grootst was. Dat is nu 39 procent, gevolgd door DDoS-aanvallen met 30 procent, het afroepen van false positivs met 26 en lock-up domeinaanvallen (waarbij de DNS-resolver wordt beziggehouden met willekeurige packets), eveneens met 26 procent.

Deskundigen zeggen dat DNS cache-poisoning, ook wel bekend als DNS-spoofing, ook nog steeds vrij gebruikelijk is. Met deze aanval injecteren aanvallers malafide data in de cachesystemen van de DNS-resolver om sitebezoekers om te leiden naar hun eigen site. Vervolgens kunnen ze daar persoonlijke gegevens en andere data stelen.

DNS-tunneling, dat DNS gebruikt om een commuicatiekanaal te verbergen en een firewall te omzeilen, is een andere aanvalsvector. Palo Alto Networks' beveiligingsonderzoekers Unit 42 hebben een van de bekendste DNS-tunnelingaanvallen, OilRig, in detail gemeld. Die werkte met trojans om sinds 2016 DNS-tunneling in te zetten voor de communicatie met een command-and-control infrastructuur om data te stelen. Sindsdien heeft de OilRig-groep nieuwe tools geïntroduceerd met verschillende tunnelingprotocollen, zo omschrijven de onderzoeker van Unit 42 in een blogpost.

"De OilRig-groep heeft veelvuldig DNS-tunneling gebruikt als een kanaal om te communiceren met C2-servers en veel van hun tools", aldus Unit 42. Een groot nadeel van DNS-tunneling is het hoge volume van DNS-query's die worden gebruikt om data tussen de tool en de C2-server te verzenden, wat wellicht opvalt voor degenen die DNS-activiteit op hun netwerken monitoren."

Mitigatie

Er zijn verschillende acties die bedrijven kunnen ondernemen om aanvallen te weren. De belangrijkste momenteel is de implementatie van tweefactor-authenticatie (2FA) zegt Williams van Talos. "Dit is eenvoudig te implementeren, iedereen begrijpt wat het is en niemand zal steil achteroverslaan van dit advies. Organisaties moeten ook de sites die openbaar te benaderen zijn gepatcht houden; we zijn allang voorbij de fase van 'laten we hopen dat ze ons niet vinden' - en dat heeft nooit gewerkt."

Er zijn een heleboel adviezen te vinden over best practices voor DNS-beveiliging. We hebben hier een aantal genoteerd en we beginnen met die van internetbeheerder ICANN zelf:

Zorg ervoor dat alle systeembeveiligingspatches zijn doorgenomen en toegepast.

Zoek in logbestanden naar ongeautoriseerde toegang tot systemen, vooral de admintoegang.

Neem interne controlemiddelen op roottoegang door.

Verifieer de integriteit van elk DNS-record en de wijzigingsgeschiedenis van die records.

Dwing voldoende wachtwoordcomplexiteit af, met name de wachtwoordlengte.

Zorg ervoor dat wachtwoorden niet worden gedeeld onder gebruikers.

Sla wachtwoorden nooit op in platte tekst.

Dwing periodieke wachtwoordwijziging af.

Zorg voor een wachtwoordvergrendeling als er X maal foutief wordt ingevoerd.

DNS zone-records moeten DNSSEC getekend zijn en je DNS-resolver moeten DNSSEC-validatie uitvoeren.

Idealiter heeft je e-maildomein een Domain-based Message Authentication-policy met SPF en/of DKIM en deze policy's moeten worden afgedwongen in andere domeinen van je e-mailsysteem.

Meer best practices voor beveiliging van DNS volgens CISA:

Werk de wachtwoorden van DNS-accounts bij. Dit stopt de toegang die ongeautoriseerde personen mogelijk nog steeds hebben.

Verifieer DNS-records om zeker te maken dat ze resolven naar de bedoelde locaties en niet ergens anders heen. Hiermee kun je ook zien of er kapingen plaatsvinden.

Controleer publieke DNS-records om dezelfde reden.

Zoek naar versleutelingscertificaten die gekoppeld zijn aan je domeinen en trek eventueel frauduleuze in.

Monitor logs van Certificate Transparency om te zien of er certificaten zijn uitgegeven die niet zijn aangevraagd. Dat helpt beveiligers om in te zien of iemand zich voordoet als de eigenlijk partij of gebruikers bespioneert.

DNS-beveiliger NS1 geeft de volgende tips om aan te geven bij je registrar/registry:

Zorg ervoor dat 2FA is ingeschakeld bij al je accounts bij registrars en registry's, dat de wachtwoorden niet eenvoudig te raden zijn, beveiligd worden opgeslagen en niet worden hergebruikt bij andere diensten.

Aanvallers gebruiken mogelijk het accountherstelproces om toegang te krijgen tot domeinbeheer, dus zorg ervoor dat contactgegevens kloppen en zijn bijgewerkt. Dit is vooral relevant voor DNS, aangezien het veel voorkomt dat domeinen worden geregistreerd ruim voordat zakelijke e-mailaccounts beschikbaar zijn.

Veel registrars en registry's hebben diensten waarmee te vereisen dat er aanvullende beveiligingsstappen moeten worden doorlopen voordat je wijzigingen kunt maken. Kijk welke 'vergrendeldiensten' er beschikbaar zijn en pas ze waar mogelijk toe, vooral op de waardevolste domeinen.

Zorg ervoor dat alle beschikbare logging is ingeschakeld, zodat je het kunt zien wanneer er wijzigingen zijn aangebracht.

Wat betreft DNS-beveiliging bij hosting komen we op soortgelijke tips uit:

Schakel tweefactor-authenticatie in bij alle DNS-hostingaccounts.

Zorg ervoor dat je back-ups hebt van alle kritieke DNS-zones om te herstellen in het geval van een succesvolle aanval.

Wellicht kun je een configuration-as-code -aanpak gebruiken om je DNS-zones te beheren.

Schakel alle beschikbare logging in zodat je wijzigingen kunt bekijken.

Ten slotte heeft EfficientIP de volgende tips: