DNS-Angriffe abwehren
Tatsächlich ist das DNS eine letzte offene Flanke in vielen Unternehmen. Auch ausgefeilte Sicherheitsarchitekturen decken sie oft nur teilweise ab. Ein DNS-Schutz muss einige Bedingungen erfüllen, um möglichst umfassenden Schutz zu bieten:
Streaming-Analytics in Echtzeit ermöglichen es, DNS-Anfragen quasi live (und Zero-Day) auf Data Exfiltration und Tunneling Toolkits zu untersuchen. Die Kommunikation nach außen zu verdächtigen Destinationen wird dann automatisch blockiert, wenn ein Versuch zur Datenexfiltrierung erkannt wird. Zusätzlich lassen sich schwarze Listen von bekannten Malware-Hosts (Name- oder IP-Adresse) nutzen (RPZ - Response Policy Zone) mit Threat Intelligence Data Feeds, die bekannte DNS Tunneling Toolkits sowie Malware erkennen. Gut, wenn hier die Erkenntnisse verschiedener Hersteller und der Community in diesem Reputationsfilter zusammenlaufen. Ein zusätzlicher Plus-Punkt für professionelle Threat Intelligence ist es, wenn der Hersteller eigene Analysten beschäftigt, die den Data Feed zusammenstellen.
Maschinelles Lernen kann dabei helfen, die Präsenz von Daten in DNS-Anfragen zu erkennen. Eine Analytics Engine untersucht die host.subdomain und TXT-Anteile in DNS-Anfragen und bestimmt mittels Entropie, lexikalischer Analyse, N-Gram und zeitlichen Serien die Präsenz von Daten in den Anfragen. Oft müssen die Datenpakete in Serie analysiert werden, bis der Mechanismus lernt das Schema zu erkennen. Alle Merkmale lassen sich zu einer Bewertung auf Punktebasis addieren, die auf die Gefährlichkeit eines Datenverkehrs hinweist. Enthält die Anfrage viele Daten? Werden viele unterschiedliche Anfragen an dieselbe externe Domain gesendet? Sind die Daten verschlüsselt oder codiert wie bei einer lexikalischen Analyse?
- Avira Free Antivirus
Avira Free Antivirus ist eine der beliebtesten Sicherheitslösun- gen und bei Millionen Anwen- dern im täglichen Betrieb und auch als kostenlose Version erhältlich. - Malwarebyes Anti-Malware - Download
Malwarebytes Anti-Malware durchsucht Ihren PC gezielt nach bösartiger Software wie Spyware, Trojaner und Viren, um diese dann zu entfernen. - PC-WELT Java-Updater
Der PC-WELT Java-Updater, der jetzt in Version 1.0.3 vorliegt, aktualisiert Java mit einem Klick - oder gleich vollautomatisch. - AVG Rescue CD - Download
Die AVG Rescue CD hilft Ihrem Rechner wieder auf die Beine, wenn dieser durch starken Virenbefall nicht mehr starten will. - DE-Cleaner Rettungssystem CD entfernt bösartige Software von Ihrem PC.
Spätestens wenn Sie Ihr System nicht mehr von Viren befreien können oder Anti-Viren-Software-Updates nicht mehr geladen werden, brauchen Sie schlagkräftige Hilfe. Die DE-Cleaner Rettungssystem CD hilft Ihnen genau bei solchen Problemen. - PC-WELT Notfall-DVD, Download
Die PC-WELT Notfall-DVD hilft Ihnen Windows-Katastrophen zu beseitigen. Nutzen Sie diese Software zum Booten, falls sich Ihr Computer nicht mehr starten lässt. - Ad-Aware Freeware zum Schutz vor Spyware
Spionageprogramme können sich in jeder Freeware und Shareware verstecken. Ad-Aware Free enttarnt diese zuverlässig und entfernt Sie vom System. - McAfee Labs Stinger - Download
McAfee Labs Stinger setzen Sie ein, wenn schon eine Vireninfektion Ihres PCs vorliegt und Sie Ihr System überprüfen möchten. - AdwCleaner
Der AdwCleaner befreit Ihr System von diesen Störenfrieden von unerwünschtem Ballast, der Ihren Rechner verlangsamt. - Wireless Network Watcher - Download
Mit dem kostenlosen Wireless Network Watcher behält man sein Netzwerk und alle verbundenen Geräte im Blick. - Identität im Netz schützen
Die Freeware Free Hide IP will Ihre gesamte Identität beim Surfen im World Wide Web schützen. - WSUS Offline Update
Das Tool WSUS Offline Update lädt alle verfügbaren Windows- bzw. Office-Updates für Ihr System herunter. Die Dateien können dabei als Paket gespeichert werden. - Privazer
Wollen Sie Ihren Rechner von unnötigen Überbleibseln befreien, dann lassen Sie Ihren PC von Privazer analysieren und bereinigen. - SystemRescueCd - Download
Ist es nach einem Systemfehler nicht einmal mehr möglich, Windows zu starten, können Sie mit dieser CD das System reparieren. - SUMo
Der kostenlose Update-Manager Sumo informiert Sie ob aktuellere Versionen für Ihre Programme vorhanden sind. - LicenseCrawler
LicenseCrawler durchforstet auf Wunsch die Registrierungsdatenbank und zeigt Ihnen alle Seriennummern ordentlich sortiert an. - PureSync - Download
Das kostenlose Sicherungs- und Synchronisationsprogramm sichert Ihnen zeitgesteuert alle gewünschten Dateien.
Eines der Kennzeichen ist das Maß der Zufälligkeit in den Daten: Normale DNS-Anfragen sind sehr wenig zufällig, verschlüsselte Datenpakete hingegen sind sehr zufällig. Wenn die Anfrage Wörter in irgendeiner Sprache (N-Gram-Analyse) enthält, wird dies mit einberechnet. Dadurch ist es möglich, auch neuere Exfiltrationsmethoden, deren Signaturen noch nicht bekannt sind, auf der Basis von Verhalten und Mustern zu erkennen - sogar bevor neue Malware Domänen im Reputationsfilter zur Verfügung stehen.
Kunden wissen es auch zu schätzen, wenn keine zusätzliche Infrastruktur angeschafft werden muss, sondern das Sicherheitstool direkt in der DNS-Infrastruktur sitzt oder als Cloud-Lösung dort ansetzt. Das DNS ist damit kein Ausgangspunkt einer Gefährdung, sondern ein zusätzlicher Sicherheitsfaktor. Das hat zudem den Vorteil, dass beispielsweise die Performance einer Firewall nicht durch eine zusätzliche Aufgabe (Deep Packet Analysis von DNS) beeinträchtigt wird. Wird dort gescannt, wo die Anfrage ankommt, verkürzt sich nicht nur der Zeitraum der Erkennung, sowie die Komplexität der Umgebung - die Kosten sinken. Erkennt man zusätzlich noch, welcher Gerätetyp, welche IP- und MAC-Adresse oder welcher Anwender den Exfiltrationsversuch unternommen hat, kann ein Sicherheitsbeauftragter schnell und zielgenau eingreifen.
Wie können derartige "Entschärfungsversuche" aussehen? Es bedarf einer engen Integration zwischen Erkennung und Behebung - was wiederum eine gute Kommunikation zwischen den einzelnen Tools voraussetzt. Kommt die Information von einem Tool, dass Indikatoren für eine Kompromittierung vorliegen, kann das andere Tool die bösartigen Prozesse an der Ausführung und Verbindung hindern und einen kompromittierten Endpunkt (der sich auch außerhalb des Netzwerks befinden kann) in Quarantäne nehmen, bevor Daten exfiltriert werden. Datendiebstahl hat damit keine Hintertür mehr und das DNS ist umfassend abgesichert. (hal)