Securitymanagement.nl

Hét platform voor de security professional

Nieuws

DNS

DNS: waarom een beschermende, voorspellende aanpak nu belangrijker is dan ooit

Domain Name System (DNS) is de ruggengraat van online communicatie. En omdat het zo’n essentieel onderdeel is van de wereldwijde netwerkinfrastructuur – iedere online transactie vanaf ieder apparaat begint immers met een DNS-query – zien cybercriminelen DNS als een strategische aanvalsvector. Ze zijn continu op zoek naar beveiligingslekken of middelen om toe te voegen aan hun aanvalsketens. Toch blijft DNS-security een ondergeschoven kindje. Hoog tijd om daar verandering in te brengen.

Door: Joris van der Linde

DNS wordt op verschillende manieren misbruikt door criminelen: om systemen over te nemen, kwetsbaarheden uit te buiten of systemen in te zetten in andere aanvallen. Helaas blijven DNS-dreigingen onderbelicht in de cybersecuritygemeenschap. Gepubliceerde aanvalsmethoden tegen DNS worden afgedaan als onvermijdelijk en krijgen niet dezelfde mate van mitigatiemaatregelen als een softwarebug. Hierdoor wordt DNS een perfecte aanvalsvector.

Kennis over DNS-aanvallen is schaars

Slechts weinig onderzoekers zijn bekend met DNS-aanvallen en kennis is schaars. Een goed voorbeeld hiervan is de exploitatie van configuratiekwetsbaarheden die bekendstaat als ‘lame delegation’. Deze exploit wordt niet eens erkend als een officiële CVE (Common Vulnerability & Exposure) door autoriteiten zoals het NCSC of het Amerikaanse CISA.

En dat terwijl volgens datzelfde CISA meer dan 90% van de succesvolle cyberaanvallen begint met een link of webpagina om gebruikers te verleiden tot een breed scala aan phishingtrucs. DNS is een ideaal hulpmiddel om deze phishingaanvallen uit te voeren. Door DNS te misbruiken, kunnen criminelen gebruikers naar een ogenschijnlijk legitieme website leiden die een verscheidenheid aan kwaadaardige payloads, zoals malware, of ransomware, kan hosten.

> LEES OOK: Van telefoonboek naar verkeersleider: de toekomst van DNS

Waarom wordt DNS misbruikt?

Maar voordat we verder ingaan op hoe DNS wordt gebruikt, is het goed om te begrijpen waarom. Want naast het feit dat DNS een fundamenteel onderdeel is van al het online verkeer, biedt het criminelen een aantal voordelen:

  • Het eerste voordeel is anonimiteit. Slechts enkele security-leveranciers monitoren actief nieuwe domeinen en de achterliggende eigenaars (voor zover dit mogelijk is). Hierdoor is het makkelijk voor criminelen om hun infrastructuur op te zetten zonder dat het opvalt.
  • Daarnaast biedt DNS de mogelijkheid om onopgemerkt te werk te gaan en gedurende een aanval securityscanners en detectie te ontwijken. Er wordt immers vaak niet actief op DNS-misbruik gemonitord.
  • Ten derde biedt DNS de mogelijkheid om gericht slachtoffers aan te vallen. Domeinnamen kunnen een specifieke doelgroep aantrekken, vooral wanneer het een vertrouwde merknaam betreft – of een login-omgeving van het bedrijf waar ze werken.
  • DNS stelt actoren ten slotte ook in staat om opportunistisch in te springen op aanvalsmogelijkheden zodra deze zich voordoen. DNS is een alomtegenwoordige technologie en kan daarom in meerdere scenario’s of fasen van een aanval worden gebruikt. Social engineering, phishing, gegevenslekken – het kan allemaal worden gefaciliteerd door misbruik van DNS-infrastructuur of -communicatie.

Hoe wordt DNS misbruikt?

Aangezien DNS zo’n fundamenteel protocol is voor online communicatie, leent het zich voor uiteenlopende malafide activiteiten. Enkele manieren waarop DNS wordt misbruikt:

  • Lookalike-domeinen: Criminelen kunnen visueel vergelijkbare websites (lookalike-domeinen) bouwen om nietsvermoedende gebruikers te misleiden op links te klikken of malware te downloaden. Lookalike-domeinaanvallen beginnen vaak op DNS-niveau en zijn erg winstgevend voor dreigingsactoren, vanwege de lage kosten voor domeinregistratie en de mogelijkheid om zeer grote groepen slachtoffers te bereiken.
  • TDS’en: Doorgaans werken criminelen in de eerste stadia van hun aanval aan de implementatie van een grootschalig Traffic Distribution System (TDS). Dit TDS leidt slachtoffers door een doolhof van verschillende domeinen en malafide websites voor uiteenlopende doeleinden. Dit gebeurt met behulp van CNAME-records en JavaScript, wat deze TDS’en ongelooflijk moeilijk te detecteren maakt.
  • Het kapen van domeinen: Onjuiste configuraties bij de domeinregistrator en ontoereikende preventie bij een DNS-provider kunnen worden misbruikt om domeinen volledig over te nemen en te gebruiken als onderdeel van een aanvalsinfrastructuur. Een specifieke DNS-techniek die hiervoor wordt gebruikt staat bekend als de Sitting Ducks-aanval.
  • Automatisering van domeinregistratie (RDGA): Om aanvallen zeer snel op te schalen en detectie te vermijden, gebruiken criminelen RDGA-algoritmen om dagelijks tienduizenden nieuwe domeinen te registreren. Criminelen kunnen zo zonder al te veel moeite hun spam-, malware- en oplichtingcampagnes opschalen zonder angst voor detectie door securitytools. Automatisering in legitieme domeinregistratiediensten maakt het cybercriminelen bovendien gemakkelijk om deze RDGAs te gebruiken.
  • Kwaadaardige URL-inkorters: Criminelen gebruiken ook linkverkorters (net zoals LinkedIn lnkd.in gebruikt en YouTube Youtu.be) om slachtoffers te misleiden. De ingekorte links worden gebruikt om detectie te ontwijken, terwijl gebruikers naar kwaadaardige websites worden geleid voor phishing, fraude en het verspreiden van malware.

Hoe bescherm je jezelf tegen DNS-misbruik?

Om je organisatie effectief te beschermen tegen DNS-misbruik, is een traditionele cybersecurity-aanpak niet voldoende. Traditionele securitymethoden richten zich op het blokkeren van specifieke domeinen. Maar dit faalt vaak omdat criminelen eenvoudigweg verkeer kunnen omleiden naar andere, vergelijkbare domeinen. In plaats daarvan is het cruciaal om de focus te verleggen naar het blokkeren van de infrastructuur van TDS’en. Door deze infrastructuur uit te schakelen, beperk je het vermogen van criminelen om verkeer naar kwaadaardige bestemmingen te leiden. Kortom, het is effectiever om het drugskartel uit te schakelen dan om achter individuele drugsdealers aan te gaan.

Daarnaast zijn veel traditionele beveiligingsmaatregelen reactief en gericht op het detecteren van malware ná activatie. Hierdoor heb je echter altijd een ‘patient zero’. Om malware te voorkomen in plaats van slechts naderhand te bestrijden, is het belangrijk om proactieve maatregelen te implementeren.

Proactief beveiligingsmiddel

DNS is niet alleen een aanvalsvector, maar kan ook worden ingezet als een universeel proactief beveiligingsmiddel. Deze “Protective DNS”-benadering, die door verschillende overheidsinstanties wordt aanbevolen, fungeert als een monitoringsdienst die DNS-verzoeken analyseert en actie onderneemt om bedreigingen te mitigeren met behulp van de bestaande DNS-infrastructuur. Door deze benadering te omarmen, kunnen organisaties niet alleen hun beveiligingssystemen effectiever maken, maar ook kosten en middelen besparen – terwijl ze een sterkere verdediging opbouwen tegen cyberdreigingen.

Joris van der Linde, Product Security Specialist Northern Europe bij Infoblox

Volg Security Management op LinkedIn


Gerelateerde berichten

Deze website is ontwikkeld voor Internet Explorer 9 of hoger, werk uw browser a.u.b. bij naar een recentere versie.
Cookies
Om u beter van dienst te kunnen zijn, maakt Securitymanagement gebruik van cookies. Klik op instellingen om de cookie instellingen te wijzigen.
Instellingen