Das DNS-System, eine Art Verzeichnis des Internets, wird seit langem von bösartigen Domains geplagt. Seine Verwalter – die Registrierstellen – haben wenig Hoffnung, ein wirksames Mittel gegen diesen Missbrauch zu finden. ESET führt eine Schutztechnologie zur Bekämpfung von Gegeben durch Problem.
Das Domain Name System (DNS) wird seit den frühen 1980er Jahren verwendet, um die IP-Adressen von Domain-Namen nachzuschlagen, die heute meist in die Adressleiste von Browsern eingegeben werden, aber auch von vielen Anwendungen abgefragt werden. Die meisten Internetnutzer bemerken wahrscheinlich gar nicht, welche Arbeit DNS leistet, obwohl fast alle unsere Internetaktivitäten mit einem DNS-Lookup beginnen. Die Überwachung von DNS-Abfragen kann einen umfassenden Überblick über die geräteübergreifende Kommunikation bieten und ist ein wichtiger Bestandteil der Sicherheitskontrollen.
Das Filtern bösartiger und verdächtiger Domänen ist ein ständiger Kampf um die Aufrechterhaltung des Schutzes. Idealerweise würden bösartige Domains gar nicht registriert oder zumindest schnell entdeckt und das Problem dann durch Entfernung, Sperrung des Zugriffs auf sie oder Umleitung der Kommunikation von ihnen weg (Sinkholes) gelöst. Die Registrierung eines neuen oder recycelten Domainnamens unter einer falschen Identität ist jedoch ein schneller, einfacher und billiger Prozess, der die sofortige Verbreitung verschiedener Bedrohungen ermöglicht.
Bösartige Domains als florierende Industrie
Die Gefahr besteht nicht nur darin, dass Sie sich bei der Eingabe eines Domainnamens vertippen und versehentlich zu einer bösartigen Website navigieren, die häufige Tippfehler in Domainnamen ausnutzt (Typosquatting). Angreifer können massenhaft neue bösartige Domains für groß angelegte Phishing-Kampagnen registrieren oder homografische Angriffe einsetzen, denen nur die Vorsichtigsten widerstehen können. Kompromittierte Geräte können sich mit Command-and-Control-Servern verbinden, die Botnets überwachen, um den nächsten bösartigen Befehl zu erteilen. Die Malware kann Daten stehlen und sie an eine bösartige Domain senden.
Ein besonderes Problem ergibt sich, wenn legitime Domains kompromittiert und als bösartig auf Sperrlisten gesetzt werden. Die Betreiber solcher Domains müssen die Quelle der Kompromittierung offenlegen und ihre Entfernung aus allen Listen gesperrter Domains beantragen. Dieses Szenario tritt häufig auf, wenn Hosting-Service-Provider, die bösartige Aktivitäten feststellen, automatisch Kundenkonten sperren. Andererseits gibt es auch Provider, die bei der böswilligen oder illegalen Nutzung ihrer Dienste ein Auge zudrücken und so einen sicheren Hafen für potenzielle und professionelle Kriminelle bieten.
Nach Angaben von Verisign, das die Infrastruktur der Top-Level-Domains (TLD) .com und .net verwaltet, 341,7 Millionen neue Domainnamen wurden im vierten Quartal 2021 registriert in allen Top-Level-Domains mit Ausnahme von .tk (Tokelau), .cf (Zentralafrikanische Republik), .ga (Gabun), .gq (Äquatorialguinea) und .ml (Mali), die von Freenom betrieben werden, aufgrund fehlender verifizierbarer Daten. Angesichts von durchschnittlich mehr als 3,7 Millionen neu registrierten Domains pro Tag, die auf bösartiges Verhalten hin analysiert werden müssen, sowie bestehenden Domains, die möglicherweise bereits kompromittiert wurden oder erst später bösartig werden, ist der Bedarf an effektiven technologischen Lösungen zur Bekämpfung dieses Bedrohungsvektors von größter Bedeutung.
Die wirtschaftliche Seite von Domains
Nach mehreren Analysen, die im Laufe der Jahre durchgeführt wurden –[1],[2] und[3] – gehören die fünf von Freen betriebenen Top-Level-Domains zu den am häufigsten genutzten Domains für Phishing und die Verbreitung von Malware, da die Registrierung einer neuen Domain kostenlos ist. Dies zeigt, wie günstig die Situation für Angreifer aus wirtschaftlicher Sicht ist.
Jeden Tag können Millionen von Domains auftauchen und verschwinden, weil die Menschen, die sie registrieren, fast keine Verantwortung oder Kosten tragen. Jeder Registrar legt seine eigenen Regeln fest, und es ist leicht, diejenigen zu finden, die bei der Überprüfung der Identität und der Adressen der Registranten eine laxe Haltung einnehmen und fast keine Gebühren für die Registrierung von Domains verlangen. Manchmal stellen sie sogar APIs zur Verfügung, um die automatische Registrierung einer großen Anzahl von Domains zu ermöglichen.
Obwohl das WHOIS-Protokoll entwickelt wurde, um eine einfache Suche nach den Identitäten und Adressen der Registranten in den Datenbanken der Registrierstellen zu ermöglichen, gibt es mehrere Hindernisse, die die Identifizierung von böswilligen Registranten erschweren. Einige Registrierstellen bieten einen Datenschutzservice an, bei dem sie keine Informationen über die Registranten weitergeben. Einige lokale Datenschutzgesetze schreiben diese Vertraulichkeit sogar vor. Noch schlimmer ist, dass bei explizit böswilligen Domains alle persönlichen Informationen, die über eine WHOIS-Abfrage verfügbar sind, wahrscheinlich falsch sind. Sogar die Kreditkarte, mit der Sie die Registrierung dieser Domains bezahlt haben, wird zunächst gestohlen. Die Kontaktaufnahme mit dem Registrar, um die bösartige Domain zu entfernen, kann mehrere Tage dauern, aber Kriminelle können ihre bösartigen Kampagnen mit neuen Domainnamen in nur wenigen Minuten fortsetzen.
Filtern der Netzwerkkommunikation zur Gewährleistung der Sicherheit
Die IT-Branche hat auf den DNS-Missbrauch mit der Entwicklung automatisierter Systeme reagiert, die Domains kontinuierlich auf bösartiges Verhalten analysieren und Listen mit gesperrten Domains erstellen. Diese Listen werden dann mit verschiedenen Sicherheitsprodukten und Bedrohungsdatenquellen verknüpft, um besser entscheiden zu können, welche Verbindungen zu bestimmten Domänen zugelassen werden. So wird beispielsweise die Anti-Phishing-Datenbank von ESET alle 20 Minuten aktualisiert, so dass Kunden auch vor den neuesten Phishing-Websites geschützt sind.
Das Filtern der Netzwerkkommunikation anhand von Listen gesperrter Domänen ist bei Internet Service Providern (ISPs) und Netzwerkadministratoren nicht unbekannt. Tatsächlich ist dies eine Aufgabe, die Firewalls schon seit Mitte der 1980er Jahre erfüllen: Sie analysieren eingehende Pakete, prüfen IP-Adressen, Domänennamen, Protokolle und Portnummern. Wenn es eine Übereinstimmung mit einer Liste gesperrter Domänen, etwas Verdächtiges oder eine Kommunikation gibt, die von den Firewall-Administratoren verboten wurde, wird der Datenverkehr blockiert oder der Benutzer wird alarmiert.
Wenn sie richtig konfiguriert sind, können Firewalls im Netzwerk und auf Endgeräten effektiv sein, da sie in beide Richtungen arbeiten und Angreifer von außen und innen daran hindern, Pakete zu und von Netzwerken und Geräten zu senden. Dadurch wird die Verbreitung bösartiger Pakete und das Durchsickern vertraulicher Daten unabhängig von der Richtung oder Quelle eingeschränkt. Die DNS-Firewall funktioniert ein wenig anders. Sie erlaubt DNS-Lookups und überschreibt Antworten, die als bösartig oder anderweitig unerwünscht markiert sind, mit den Meldungen „nicht gefunden“ oder „Zugriff verweigert“.
DNS-Filterung erfordert Zusammenarbeit
Der Einsatz von Firewalls und Sperrlisten, um den Zugriff auf bösartige Domänen zu verhindern, kann in gewisser Weise ein falsches Gefühl der Sicherheit vermitteln. Selbst bei hartnäckigen Bemühungen gibt es fast immer ein Schlupfloch, um die Firewall-Filter zu umgehen, meist über ein virtuelles privates Netzwerk (VPN) oder den Tor-Browser. Da die DNS-Firewall an einen DNS-Server gebunden ist, müssen Sie nur den DNS-Server ändern, den Sie verwenden, um die Filter zu umgehen. Obwohl es möglich ist, zu Hause oder vor Ort einen eigenen DNS-Server und eigene Filter zu verwenden, geben sich viele Internetnutzer wahrscheinlich mit dem Standard-DNS-Server und den Filtern ihres Internetanbieters zufrieden. Eine einfache Suche nach „öffentlichen DNS-Servern“ in einer Suchmaschine führt Sie zu einer Reihe beliebter kostenloser und kostenpflichtiger Alternativen, von denen einige ein unterschiedliches Maß an Schutz vor Phishing-Seiten und Malware bieten.
Das bedeutet, dass der effektive Einsatz einer DNS-Filterlösung entscheidend von der Bereitschaft der Internetnutzer abhängt, sich mit dem von ihnen gewählten DNS-Anbieter zusammenzutun und den angebotenen Schutz nicht zu umgehen.
PDNS mit ESET NetProtect
Die Notwendigkeit, die DNS-Sicherheit zu verbessern, hat an einigen Stellen zur Einführung von PDNS (Protective DNS) geführt – diese Abkürzung bezieht sich auf die DNS-Filterung. Ab 2020 müssen beispielsweise Auftragnehmer des US-Verteidigungsministeriums CMMC-zertifiziert sein (Cybersecurity Maturity Model Certification), was unter anderem bedeutet, dass die DNS-Filterung Stufe 3 von fünf Stufen erreichen muss. Darüber hinaus hat das US-Verteidigungsministerium Ende 2021 CMMC 2.0 eingeführt, wobei die Verknüpfung der DNS-Filterung noch aussteht.
Es gibt viele Anbieter auf dem PDNS-Markt, die DNS-Filterung mit unterschiedlicher Qualität der Domaininformationen und begleitende Sicherheitsdienste anbieten. Der einzigartige Beitrag von ESET liegt in den Bedrohungsdaten, die von Millionen von Kunden auf der ganzen Welt, die ESET-Sicherheitsprodukte verwenden, geteilt werden. Mit 35 Jahren Erfahrung in der Bereitstellung von IT-Sicherheit sowie der Entwicklung und Feinabstimmung interner Systeme, um qualitativ hochwertige Domain-Feeds für die DNS-Filterung zu liefern, kann ESET ISPs und privaten Sicherheitsadministratoren eine unverwechselbare Quelle des Schutzes bieten.
Vielleicht sind Sie ein ISP, der sich um Regierungsaufträge bewerben möchte, oder Sie möchten Ihr eigenes Netzwerk schützen oder Ihren Kunden Sicherheitsdienste anbieten. Oder vielleicht sind Sie ein normaler Benutzer, der nach einer Sicherheit sucht, die besser ist als das, was Ihr ISP bietet, und die sich leicht auf alle Benutzer und Gäste in Ihrem Heimnetzwerk ausweiten lässt. In jedem Fall ist es ein wichtiger Schritt, sich über die Filteroptionen für Ihren DNS-Server zu informieren und herauszufinden, wem Sie die DNS-Sicherheit anvertrauen, um sich gegen die Vielzahl bösartiger Domains zu wehren, die sich im Internet ausbreiten.
ESET NetProtect ist eine DNS-Filterlösung für Privatanwender, die von ISPs angeboten wird, die eine Partnerschaft mit ESET eingegangen sind. Die Lösung kann Domains erkennen und blockieren, die Malware verbreiten, für Phishing verwendet werden, einen fragwürdigen Ruf haben oder potenziell unerwünschte Inhalte anbieten. ESET NetProtect bietet seinen Kunden außerdem einen konfigurierbaren Web-Content-Filter mit 35 Kategorien, mit dem sich Inhalte nach Altersgruppen blockieren lassen.Weitere Informationen darüber, wie ESET NetProtect mit ISP-Diensten zusammenarbeitet, finden Sie auf unserer Produktseite.
