DNSteal: Data Exfiltration und Tunneling über DNS – Techniken und Erkennung

Sicherheit (Pexels, allgemeine Nutzung)[English]Ein Sicherheitsthema, welches ich noch nicht wirklich auf dem Radar hatte: Datendiebstahl durch Manipulation des Domain Name Systems (DNS). Das Ganze läuft unter den Begriffen DNSteal und DNS Exfiltration. Grob gesagt handelt es sich um Techniken, mit der sich Firewalls tunneln und Daten über umgeleitete DSN-Server exfiltrieren (stehlen) lassen.


Anzeige

Datenabgriff durch DNS Exfiltration

Speziell für Unternehmen besteht das Risiko, dass Daten unbemerkt aus dem Firmennetzwerk abgezogen werden. Die IT versucht zwar einen Datenabfluss durch Firewalls und weitere Sicherheitsmaßnahmen zu blockieren. Aber Hacker suchen Wege, um das DNS (Domain Name System) für ihre Zwecke zu missbrauchen.

Hinweise von Akamai

Vom Sicherheitsanbieter Akamai gibt es zum Thema einen deutschsprachigen Beitrag DNS: Der einfachste Weg, Daten zu stehlen?, der die verschiedenen Möglichkeiten beschreibt, wie Angreifer DNS missbrauchen. Dazu gehören DNS-Tunneling (mit hohem Durchsatz) und DNS‑Exfiltration (mit niedrigem Durchsatz).

Angreifer machen sich ´laut Akamai die Tatsache zunutze, dass  die meisten Unternehmen aufgrund seiner entscheidenden Rolle nicht in den DNS-Traffic eingreifen. Daher wird in den beiden oben genannten Varianten das DNS-Protokoll zur Exfiltration von Daten verwendet. Die Angreifer fügen DNS-Anfragen jeweils Daten hinzu, die mit der Anfrage nichts zu tun haben.

  • Beim DNS-Tunneling mit hohem Durchsatz laufen die DNS-Anfragen zu einer oder mehreren Ziel-Domains, die diese Daten dann abziehen und die eigentlichen DNS-Anfragen an einen DNS-Server weiter leiten. Akamai führt DNS-Tunneling zur Umgehung einer WLAN-Paywall als harmlose Variante und die Kommunikation mit einem Command and Control [C2]-Server als schädlichere Variante auf. DNS-Tunneling soll, so der Sicherheitsanbieter, auf Grund der Datenmengen leicht zu erkennen und zu blockieren sein.
  • Bei der DNS-Datenexfiltration mit niedrigem Durchsatz wird die Erkennung schwieriger, da es keine signifikante Erhöhung des Datendurchsatzes bei DNS-Anfragen zu einzelnen Domains gibt. Ein durch Malware infizierter Endpunkt kann beispielsweise nur jede Stunde aktiv sein und eine DNS-Anfrage mit einer kurzen angehängten Nachricht an seinen C2-Server senden.

Gerade die letztgenannte Methode ist wohl bei Angreifern sehr beliebt, um die Kommunikation mit bestimmten Domains zu verschleiern. Wertvolle Daten (z.B. Kreditkartendaten) lassen sich so oft unerkannt ausschleusen.


Anzeige

Was ist DNSteal?

Der zweite Begriff, der mir in diesem Zusammenhang untergekommen ist, lautet DNSteal – eine Kombination aus DNS und Steal (stehlen). FortiGuard beschreibt das Ganze in seiner IPS Threat Encyclopedia als "DNSteal is a tool that can tunnel data over DNS to bypass firewall policy". Auf GitHub gibt es hier das Tool DNSteal 2.0, welches als gefälschter DNS-Server fungiert, der es Testern ermöglichen soll, über DNS-Anfragen heimlich Dateien von einem Opfercomputer zu extrahieren.

Ein Grundlagenartikel

Ich hatte hier im Blog bereits mehrfach über Produkte von Helge Klein wie seine Tool SetACL und Delproof2, oder sein Splunk-Plugin uberAgent berichtet (siehe Artikel am Beitragsende). Helge Klein ist Software-Entwickler, ehemaliger MVP-Kollege und Gründer der Firma vast limits GmbH. Im August 2022 hatte ich sein Produkt uberAgent Endpoint Security Analytics (ESA) besprochen und ihn gebeten, wenn er etwas interessantes in der Weiterentwicklung hat, mir einen Hinweis zukommen zu lassen.

Helge hat mich bereits vor einiger Zeit auf seinen im Februar 2023 publizierten Blog-Beitrag DNS Exfiltration & Tunneling: How it Works & DNSteal Demo Setup hingewiesen, der die oben angerissenen Themen aufgreift. Im betreffenden Artikel beschreibt er, wie sich DNS-Anfragen zum Abziehen von Daten aus einem Unternehmensnetzwerk mit den oben angerissenen Techniken missbrauchen lassen. Dort werden auch das Python-Script DNSteal erwähnt als auch eine Demo zur sowie die Daten Exfiltration mit diesem Tool beschrieben.

DNS Exfiltration erkennen/verhindern

Die Frage, die sich Administratoren in Unternehmen stellt: "Wie kann ich die Exfitration von Daten aus dem Unternehmensnetzwerk über DNS-Anfragen erkennen und verhindern?" Im August hatte ich im Artikel IT-Sicherheit: uberAgent Endpoint Security Analytics (ESA), Monitoring und perfekte Ergänzung für EDR-Produkte den von Helge Klein entwickelten uberAgent vorgestellt. Es handelt sich um eine Lösung, die der IT-Abteilung die benötigten Informationen zum Monitoring sowie zu potentiellen Sicherheitsvorfällen liefert. Das im Artikel vorgestellte Produkt uberAgent ESA läuft auf macOS sowie auf Windows-Systemen und besitzt eine Splunk-Integration.

Von diesem Artikel wusste ich, dass Helge Klein mit der Weiterentwicklung seines Tools beschäftigt ist und diverse Sicherheitsaspekte aufgreift. Zum obigen Thema DNS Exfiltration hat er in uberAgent 7.1 eine DNS Exfiltration & Tunneling Detection integriert. Die betreffenden Funktionen beschreibt er in seinem Blog-Beitrag  uberAgent 7.1 Preview: DNS Exfiltration & Tunneling Detection.

Detect DNS exfiltration with uberAgent ESA & Splunk

Obiges YouTube-Video demonstriert den Einsatz zur Erkennung einer DNS Exfiltration durch DNSteal mittels uberAgent 7.1. Das Tool uberAgent samt Integration in Splunk hatte ich im Blog-Beitrag IT-Sicherheit: uberAgent Endpoint Security Analytics (ESA), Monitoring und perfekte Ergänzung für EDR-Produkte vorgestellt. In diesem Beitrag findet sich auch eine Möglichkeit, Evaluierungs- und Community-Lizenzen zum Testen anzufordern.

Anmerkung: Beim Blog-Beitrag IT-Sicherheit: uberAgent Endpoint Security Analytics (ESA), Monitoring und perfekte Ergänzung für EDR-Produkte um einen entsprechend gekennzeichneten sponsored Post handelt. Der obige Beitrag ist dagegen kein sponsored Post – ich hatte Helge Klein gebeten, mich über neuere Entwicklungen bei uberAgent zu informieren. Vielleicht ist das Thema ja für den einen oder anderen Blog-Leser von Interesse.

Ähnliche Artikel:
Info-Splitter von der it-sa 2022: uberAgent und mehr
IT-Sicherheit: uberAgent Endpoint Security Analytics (ESA), Monitoring und perfekte Ergänzung für EDR-Produkte
Tipp: Tools SetACL und Delproof2 nun gratis


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu DNSteal: Data Exfiltration und Tunneling über DNS – Techniken und Erkennung

  1. pau1 sagt:

    Wozu muss ein Client Rechner denn einen externen DNS ansprechen?
    Früher hatten wir einen (transparenten) (Zwangs)proxy. Der Proxy machte die DNS Anfragen. Der Client übergab ihm nur per Connect die Anfrage. Die Anfragen konnten so geputzt werden.

    Von gaaaanz früher erinnere ich mich an den albernen Versuch der Bahn, ihr WLAN im Bahnhof nzuschotten, gabs nur gegen absurd viel Geld. Damals (Ende 90er?) war es aber qutiesch einfach über den DNS sogar ssh zu Tunneln.

    Irgendwann hat die Bahn das dann doch mitbekommen(war wohl zu viel), aber inzwischen ist das WLAN als Kunden Service ja offen oder zumindest kostenlos.

    Sach nicht das dieses uralte Loch heute wieder offen ist? Weil ein Hirni meinte, ein Proxy sei ja nur Arbeit und kostet Strom und bringt nichts, weil ja eh alles HTTPS sei und nicht gecacht wird und IP Traffic so viel billiger sei?Ich glaub ich bin in einer schlechten Komödie?

    • Michael sagt:

      Proxys sind eigentlich am Aussterben, viele Service vertragen/mögen es gar nicht, wenn sich so etwas dazwischen einklilnkt, weshalb viele der Funktionalitäten in Richtung NG Firewall gewandert sind ohne Proxy/Proxy + Auth.

      Office 365 Traffic wäre in manchen Bereichen so ein Fall.

  2. A. Nonym sagt:

    Vor vielen Monaten veröffentlichte SANS einen Bericht inkl. der Software mit POC.

    Eine Domain unter Kontrolle des Angreifers erfasst alle Anfrage für beliebige Sub-Domains. Dies ist nötig, damit die DNS Anfrage nicht bei vorgelagerten DNS-Servern hängen bleibt. Pro DNS Anfrage kann nur eine kleine Payload gesendet werden.

    Ähnliches geht auch mit Ping.

  3. 1ST1 sagt:

    Das Monitoring von DNS auf Datenabfluss ist in der Tat ein interessantes Thema, aber uberAgent ist da nicht das einzige Tool, was man dafür einsetzen kann. Eine Übersicht solcher Tools ist im deutschsprachigen Raum meines Wissens nicht zu finden, bei Gartner und per Google kann man sich mühsam Informationen dazu zusammen suchen, aber wenn man da keine konkreten Produktnamen kennt, ist das erstmal schwierig zu finden. Aber es gibt sie, und die machen weit mehr als nur DNS-Monitoring, da gehts um Klassifizierung der Daten (z.B. DSGVO, Kredikartendaten, Klarztextpasswörter usw.), Berechtigungsstruktur, Benutzerverhalten (wer nutzt welche Daten) auf Fileservern, Benutzerverhalten im AD, Monitoring von Änderungen im AD (User, Gruppen, Gruppenrichtlinien, usw.), wer hat da was gemacht, aber auch Monitoring von Exchange, O365, OneDrive, Azure, AWS, Sharepoint, Confluence, Proxy, VPN, DNS, Firewall und und und: Darktrace, Netwrix, Rapid7, Solarwinds (ARM), Varonis (Edge-Modul), usw. diese Lösungen miteinander objektiv zu vergleichen ist aber schwer machbar, weil es nur wenig neutrale Bewertungen gibt. Am krassesten geht z.B. Solarwinds vor, die haben PDFs online welche ihr Produkt mit jeweils einem anderen Mitbewerber vergleichen und praktisch bei jeder Funktion wird behauptet, dass der Mitbewerber das nur über optionale kostenpflichtige Zusatzmodule kann. Will man das aber mit Solarwinds auch machen, muss man diese Funktionen auch dort erst als Modul zusätzlich kaufen, letztlich geben die sich also untereinander nichts. Letztlich geht es immer darum Datenabfluss und Ransomeware durch Least Prvilileges zu verhindern und bei Erkennung solcher Vorfälle schonmal automatisiert Aktionen auszuführen, um schlimmeres zu verhindern, in dem z.B. der verursachende User gesperrt wird (im Filesystem per ACL, Kontosperrung im AD, Rechner isolieren, usw.) Ich schaue mir dieses Thema seit 1,5 Jahren immer wieder zwischendurch mal an und versuche die Lösungen miteinander zu vergleichen, um das für uns beste Programm zu finden, klar ist schonmal, es wird wahnsinnig teuer, Lizenzkosten und Ressourcen (vor allem Storage für die Live-Datenbank und ein Langzeitarchiv), bei dem hier gepushten uberAgent (der längst nicht den Umfang wie die anderen Produkte hat) braucht man zusätzlich ja noch eine Splunk-Lizenz, die bei unserer Größe auch nicht zu verachten ist. Ein SIEM ist zwar ab einer gewissen Firmengröße Pflicht, aber die genannten Hersteller sagen teilweise, haste uns, brauchste kein SIEM mehr. Würde ich aber gefühlt nicht machen, und wenn es nur ein kostenloses Elastic-Search/Wazuh als Zusatz ist (aber auch hier kostet vor allem der Storage).

  4. Daniel sagt:

    Ich habe eine Verständnisfrage. Wir haben bei uns interne DNS-Server, an denen Clients Abfragen machen. Kann DNS auch missbraucht werden, wenn der infizierte Client-Rechner keine Verbindung zu einem externen DNS-Server aufbauen kann, weil Port 53 nach extern durch eine Firewall blockiert wird? Oder werden die Anfragen dann nur über die internen DNS-Server "umgeleitet" und können trotzdem missbraucht werden?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.