Air-Gapped-Netzwerke sind labil pro DNS-Angriffe

Häufige Fehlkonfigurationen zwischen jener Implementierung von Domain Name System (DNS) in einer Unternehmensumgebung können Air-Gap-Netzwerke und die hochwertigen Vermögenswerte, die sie schützen sollen, einem Risiko durch externe Angreifer aussetzen, nach sich ziehen Forscher herausgefunden.

Organisationen, die Air-Gap-Netzwerke verwenden, die sich mit DNS-Servern verbinden, können die Vermögenswerte versehentlich Bedrohungsakteuren aussetzen, welches zu schwerwiegenden Datenschutzverletzungen zur Folge haben kann, enthüllten Forscher jener Sicherheitsfirma Pentera in einem am 8. Monat der Wintersonnenwende veröffentlichten Blogbeitrag.

Angreifer können DNS denn Befehls- und Kontrollkanal (C2) verwenden, um mit diesen Netzwerken via mit dem WWW verbundene DNS-Server zu kommunizieren, und sie so verletzen, wenn auch eine Organisation glaubt, dass dasjenige Netzwerk siegreich tot wurde, enthüllten die Forscher.

Air-Gap-Netzwerke sind ohne Zugriff aufwärts dasjenige WWW vom gemeinsamen Benutzernetzwerk in einer Geschäfts- oder Unternehmens-IT-Umgebung unangeschlossen. Sie sind aufwärts welche Weise konzipiert, um die „Kronjuwelen“ einer Organisation zu schützen, schrieben die Forscher, während sie VPN, SSL VPN oder dasjenige Netzwerk jener Benutzer via eine Jumpbox verwenden, damit der gerne Süßigkeiten isst darauf zupacken kann.

Sie Netzwerke benötigen jedoch weiterhin DNS-Dienste, die verwendet wird, um Systemen Namen zuzuweisen pro die Netzwerkauffindbarkeit. Dies stellt eine Schwachstelle dar, wenn DNS von Netzwerkadministratoren nicht sorgfältig konfiguriert wird.

„Unsrige Wissenschaft zeigt, wie DNS-Fehlkonfigurationen unbeabsichtigt die Unbescholtenheit von Air-Gap-Netzwerken in Mitleidenschaft ziehen können“, sagt Uriel Gabay, Cyberattack-Forscher zwischen Pentera, im Vergleich zu Dark Reading.

Zu Händen dasjenige Unternehmen bedeutet dies, dass Hacker durch den Misshandlung von DNS eine stabile Kommunikationsverbindung zu einem Air-Gap-Netzwerk nach sich ziehen, dasjenige es ihnen ermöglicht, vertrauliche Statistik zu exfiltrieren, während ihre Aktivitäten pro die Sicherheitsprotokolle eines Unternehmens völlig legitim erscheinen, sagt Gabay.

DNS denn stark fehlkonfigurierbares Protokoll

Dieser häufigste Fehler, den Unternehmen zeugen, wenn sie ein Air-Gap-Netzwerk mit Möbeln ausstatten, ist zu vertrauen, dass sie ein effektives Air-Gap schaffen, wenn sie es mit ihren lokalen DNS-Servern verketten, sagt Gabay. In vielen Fällen können welche Server mit öffentlichen DNS-Servern verbunden sein, welches bedeutet, dass “sie unbeabsichtigt ihre eigene Luftlücke gebrochen nach sich ziehen”.

Es ist wichtig zu verstehen, wie DNS funktioniert, um zu wissen, wie Angreifer durch seine Varianz steuern können, um in eine Luftlücke einzudringen, erklärten die Forscher in ihrem Mitgliedsbeitrag.

Dasjenige Senden von Informationen via DNS kann erfolgen, während ein Eintragung angefordert wird, den dasjenige Protokoll verarbeitet – wie TXT, ein Textdatensatz, oder NS, ein Nameserver-Eintragung – und die Informationen in den ersten Teil des Namens des Datensatzes eingefügt werden, erklärten die Forscher. Dieser Empfang von Informationen via DNS kann durch Ordern eines TXT-Eintrags und Erhalt einer Textantwort pro diesen Item erfolgen.

Während dasjenige DNS-Protokoll aufwärts TCP laufen kann, basiert es hauptsächlich aufwärts UDP, dasjenige keinen eingebauten Sicherheitsmechanismus hat – einer von zwei Schlüsselfaktoren, die pro vereinigen Angreifer ins Spiel kommen, um DNS auszunutzen, sagten die Forscher. Genauso gibt es zwischen UDP keine Test via den Vorgang oder die Reihenfolge jener Datenübertragung.

Erkenntlichkeit dieser fehlenden Fehlererkennung in UDP können Angreifer eine Nutzlast vor dem Senden packen und nachdem dem Senden sofort entzippen, welches mit jeder anderen Typ jener Kodierung wie etwa base64 möglich ist, erklärten die Forscher.

Verwenden von DNS zum Entkräften einer Luftlücke

Gewiss gibt es Herausforderungen pro Bedrohungsakteure, siegreich mit DNS zu kommunizieren, um eine Luftlücke zu schließen. DNS hat Beschränkungen pro die Typen Reihe jener akzeptierten Zeichen, sodass nicht jeder Zeichen gesendet werden können; diejenigen, die dies nicht können, werden denn “schlechte Charaktere” bezeichnet, sagten die Forscher. Außerdem ist die Länge jener zu sendenden Zeichen eingeengt.

Um die fehlende Test via den Datenfluss im DNS zu den Rest geben, können Bedrohungsakteure dem Server mitteilen, welches Päckchen gepuffert werden soll und welches denn letztes Päckchen erwartet wird, sagten die Forscher. Ein Päckchen sollte im gleichen Sinne nicht gesendet werden, solange bis ein Angreifer weiß, dass dasjenige vorherige Päckchen siegreich angekommen ist, sagten sie.

Um schlechte Zeichen zu vermeiden, sollten Angreifer base64 aufwärts gesendete Statistik unmittelbar vor dem Senden anwenden, während sie Statistik in Stücke schneiden können, die einzeln gesendet werden, um die DNS-Zeichenlängenbegrenzung zu umgehen, sagten sie.

Um vereinigen Verteidiger zu umgehen, jener eine DNS-Antrag verkrampft, während er den Zugriff aufwärts den Server verkrampft, von dem sie gesendet wird, kann ein Angreifer Domänennamen basierend aufwärts Variablen generieren, die zweierlei Seiten Kontakt haben und erwarten, erklärten die Forscher.

„Während die ausführbare File nicht unbedingt schwierig ist, würde ein Angreifer oder eine Partie die Unterbau benötigen, um weiterhin Root-Datensätze zu kaufen“, stellten sie stramm.

Angreifer können Schadsoftware im gleichen Sinne so konfigurieren, dass sie basierend aufwärts einem Zeitpunkt eine Domain im DNS generiert, welches es ihnen ermöglicht, ständig neue Anfragen via DNS mit einer neuen, bekannten Root-Domain zu senden, sagten die Forscher. Die Verteidigung gegen welche Typ von Konfiguration „wird sich denn Herausforderung pro Organisationen erweisen, die statische Methoden oder sogar einfache Anomalieerkennung zur Erkennung und Verhinderung verwenden“, sagten sie.

Widerstand von DNS-Angriffen aufwärts Air-Gapped-Netzwerke

Da DNS-Angriffe häufiger denn je vorkommen – 88 % jener Unternehmen melden laut dem neuesten IDC In aller Welt DNS Threat Report im Jahr 2022 jedwede Typ von DNS-Übergriff – ist es pro Unternehmen wichtig zu verstehen, wie sie DNS-Misshandlung eindämmen und sich dagegen wehren können, so die Forscher sagte.

Eine Möglichkeit besteht darin, vereinigen dedizierten DNS-Server pro dasjenige Air-Gap-Netzwerk zu erstellen, sagt Gabay im Vergleich zu Dark Reading. Organisationen sollen jedoch darauf verfemen, sicherzustellen, dass dieser Server nicht mit anderen DNS-Servern verkettet ist, die notfalls in jener Organisation vorhanden sind, da dies „letztlich zu DNS-Servern im WWW führt“, sagt er.

Unternehmen sollten im gleichen Sinne eine aufwärts Anomalien basierende Erkennung im Netzwerk schaffen, während sie ein IDS/IPS-Tool verwenden, um seltsame DNS-Aktivitäten zu beaufsichtigen und zu identifizieren, sagt Gabay. Auf Grund jener Tatsache, dass jeder Unternehmensumgebungen einzigartig sind, wird welche Typ von Problembeseitigung im gleichen Sinne pro eine Organisation einzigartig sein, sagt er.

Es gibt jedoch wenige gängige Beispiele dazu, welche anormale Typ von DNS-Verhalten überwacht werden sollte, darunter: DNS-Anforderungen an böswillige Domänen; große Mengen an DNS-Anfragen in sehr kurzer Zeit; und DNS-Anfragen zu seltsamen Zeiten. Gabay fügt hinzu, dass Organisationen im gleichen Sinne eine SNORT-Regel implementieren sollten, um die Länge jener angeforderten DNS-Einträge zu beaufsichtigen.