{"id":280477,"date":"2023-05-06T00:03:00","date_gmt":"2023-05-05T22:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=280477"},"modified":"2023-05-06T22:27:36","modified_gmt":"2023-05-06T20:27:36","slug":"dnsteal-data-exfiltration-und-tunneling-ber-dns-techniken-und-erkennung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/05\/06\/dnsteal-data-exfiltration-und-tunneling-ber-dns-techniken-und-erkennung\/","title":{"rendered":"DNSteal: Data Exfiltration und Tunneling &uuml;ber DNS &#8211; Techniken und Erkennung"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/05\/06\/dnsteal-data-exfiltration-and-tunneling-via-dns-techniques-and-detection\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Ein Sicherheitsthema, welches ich noch nicht wirklich auf dem Radar hatte: Datendiebstahl durch Manipulation des Domain Name Systems (DNS). Das Ganze l\u00e4uft unter den Begriffen DNSteal und DNS Exfiltration. Grob gesagt handelt es sich um Techniken, mit der sich Firewalls tunneln und Daten \u00fcber umgeleitete DSN-Server exfiltrieren (stehlen) lassen.<\/p>\n<p><!--more--><\/p>\n<h2>Datenabgriff durch DNS Exfiltration<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/7c4d0c69334549778f0a04b0f1ab84aa\" alt=\"\" width=\"1\" height=\"1\" \/>Speziell f\u00fcr Unternehmen besteht das Risiko, dass Daten unbemerkt aus dem Firmennetzwerk abgezogen werden. Die IT versucht zwar einen Datenabfluss durch Firewalls und weitere Sicherheitsma\u00dfnahmen zu blockieren. Aber Hacker suchen Wege, um das DNS (Domain Name System) f\u00fcr ihre Zwecke zu missbrauchen.<\/p>\n<h3>Hinweise von Akamai<\/h3>\n<p>Vom Sicherheitsanbieter Akamai gibt es zum Thema einen deutschsprachigen Beitrag <a href=\"https:\/\/web.archive.org\/web\/20220627230427\/https:\/\/www.akamai.com\/de\/blog\/security\/dns-the-easiest-way-to-exfiltrate-data\" target=\"_blank\" rel=\"noopener\">DNS: Der einfachste Weg, Daten zu stehlen?<\/a>, der die verschiedenen M\u00f6glichkeiten beschreibt, wie Angreifer DNS missbrauchen. Dazu geh\u00f6ren DNS-Tunneling (mit hohem Durchsatz) und DNS\u2011Exfiltration (mit niedrigem Durchsatz).<\/p>\n<p>Angreifer machen sich \u00b4laut Akamai die Tatsache zunutze, dass\u00a0 die meisten Unternehmen aufgrund seiner entscheidenden Rolle nicht in den DNS-Traffic eingreifen. Daher wird in den beiden oben genannten Varianten das DNS-Protokoll zur Exfiltration von Daten verwendet. Die Angreifer f\u00fcgen DNS-Anfragen jeweils Daten hinzu, die mit der Anfrage nichts zu tun haben.<\/p>\n<ul>\n<li>Beim <strong>DNS-Tunneling<\/strong> mit hohem Durchsatz laufen die DNS-Anfragen zu einer oder mehreren Ziel-Domains, die diese Daten dann abziehen und die eigentlichen DNS-Anfragen an einen DNS-Server weiter leiten. Akamai f\u00fchrt DNS-Tunneling zur Umgehung einer WLAN-Paywall als harmlose Variante und die Kommunikation mit einem Command and Control [C2]-Server als sch\u00e4dlichere Variante auf. DNS-Tunneling soll, so der Sicherheitsanbieter, auf Grund der Datenmengen leicht zu erkennen und zu blockieren sein.<\/li>\n<li>Bei der <strong>DNS-Datenexfiltration<\/strong> mit niedrigem Durchsatz wird die Erkennung schwieriger, da es keine signifikante Erh\u00f6hung des Datendurchsatzes bei DNS-Anfragen zu einzelnen Domains gibt. Ein durch Malware infizierter Endpunkt kann beispielsweise nur jede Stunde aktiv sein und eine DNS-Anfrage mit einer kurzen angeh\u00e4ngten Nachricht an seinen C2-Server senden.<\/li>\n<\/ul>\n<p>Gerade die letztgenannte Methode ist wohl bei Angreifern sehr beliebt, um die Kommunikation mit bestimmten Domains zu verschleiern. Wertvolle Daten (z.B. Kreditkartendaten) lassen sich so oft unerkannt ausschleusen.<\/p>\n<h3>Was ist DNSteal?<\/h3>\n<p>Der zweite Begriff, der mir in diesem Zusammenhang untergekommen ist, lautet DNSteal &#8211; eine Kombination aus DNS und Steal (stehlen). FortiGuard beschreibt das Ganze in seiner <a href=\"https:\/\/www.fortiguard.com\/encyclopedia\/ips\/52155\" target=\"_blank\" rel=\"noopener\">IPS Threat Encyclopedia<\/a> als \"<em>DNSteal is a tool that can tunnel data over DNS to bypass firewall policy<\/em>\". Auf GitHub gibt es <a href=\"https:\/\/github.com\/m57\/dnsteal\" target=\"_blank\" rel=\"noopener\">hier<\/a> das Tool DNSteal 2.0, welches als gef\u00e4lschter DNS-Server fungiert, der es Testern erm\u00f6glichen soll, \u00fcber DNS-Anfragen heimlich Dateien von einem Opfercomputer zu extrahieren.<\/p>\n<h2>Ein Grundlagenartikel<\/h2>\n<p>Ich hatte hier im Blog bereits mehrfach \u00fcber Produkte von Helge Klein wie seine Tool SetACL und Delproof2, oder sein Splunk-Plugin uberAgent berichtet (siehe Artikel am Beitragsende). Helge Klein ist Software-Entwickler, ehemaliger MVP-Kollege und Gr\u00fcnder der Firma vast limits GmbH. Im August 2022 hatte ich sein Produkt <em>uberAgent Endpoint Security Analytics (ESA)<\/em> besprochen und ihn gebeten, wenn er etwas interessantes in der Weiterentwicklung hat, mir einen Hinweis zukommen zu lassen.<\/p>\n<p>Helge hat mich bereits vor einiger Zeit auf seinen im Februar 2023 publizierten Blog-Beitrag <a href=\"https:\/\/helgeklein.com\/blog\/dns-exfiltration-tunneling-how-it-works-dnsteal-demo-setup\/\" target=\"_blank\" rel=\"noopener\">DNS Exfiltration &amp; Tunneling: How it Works &amp; DNSteal Demo Setup<\/a> hingewiesen, der die oben angerissenen Themen aufgreift. Im betreffenden Artikel beschreibt er, wie sich DNS-Anfragen zum Abziehen von Daten aus einem Unternehmensnetzwerk mit den oben angerissenen Techniken missbrauchen lassen. Dort werden auch das Python-Script DNSteal erw\u00e4hnt als auch eine Demo zur sowie die Daten Exfiltration mit diesem Tool beschrieben.<\/p>\n<h2>DNS Exfiltration erkennen\/verhindern<\/h2>\n<p>Die Frage, die sich Administratoren in Unternehmen stellt: \"Wie kann ich die Exfitration von Daten aus dem Unternehmensnetzwerk \u00fcber DNS-Anfragen erkennen und verhindern?\" Im August hatte ich im Artikel <a href=\"https:\/\/borncity.com\/blog\/2022\/08\/26\/gepinntit-sicherheit-uberagent-esa-die-perfekte-ergnzung-fr-edr-produkte\/\">IT-Sicherheit: uberAgent Endpoint Security Analytics (ESA), Monitoring und perfekte Erg\u00e4nzung f\u00fcr EDR-Produkte<\/a> den von Helge Klein entwickelten uberAgent vorgestellt. Es handelt sich um eine L\u00f6sung, die der IT-Abteilung die ben\u00f6tigten Informationen zum Monitoring sowie zu potentiellen Sicherheitsvorf\u00e4llen liefert. Das im Artikel vorgestellte Produkt <em>uberAgent ESA<\/em> l\u00e4uft auf macOS sowie auf Windows-Systemen und besitzt eine Splunk-Integration.<\/p>\n<p>Von diesem Artikel wusste ich, dass Helge Klein mit der Weiterentwicklung seines Tools besch\u00e4ftigt ist und diverse Sicherheitsaspekte aufgreift. Zum obigen Thema DNS Exfiltration hat er in uberAgent 7.1 eine <em>DNS Exfiltration &amp; Tunneling Detection<\/em> integriert. Die betreffenden Funktionen beschreibt er in seinem Blog-Beitrag\u00a0 <a href=\"https:\/\/uberagent.com\/blog\/uberagent-7-1-preview-dns-exfiltration-tunneling-detection\/\" target=\"_blank\" rel=\"noopener\">uberAgent 7.1 Preview: DNS Exfiltration &amp; Tunneling Detection<\/a>.<\/p>\n<p><a href=\"https:\/\/www.youtube.com\/watch?v=3rtPLO6-Ldw\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Detect DNS exfiltration with uberAgent ESA &amp; Splunk\" src=\"https:\/\/i.imgur.com\/uGYmTVo.png\" alt=\"Detect DNS exfiltration with uberAgent ESA &amp; Splunk\" \/><\/a><\/p>\n<p>Obiges <a href=\"https:\/\/www.youtube.com\/watch?v=3rtPLO6-Ldw\" target=\"_blank\" rel=\"noopener\">YouTube-Video<\/a> demonstriert den Einsatz zur Erkennung einer DNS Exfiltration durch DNSteal mittels uberAgent 7.1. Das Tool uberAgent samt Integration in Splunk hatte ich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/08\/26\/gepinntit-sicherheit-uberagent-esa-die-perfekte-ergnzung-fr-edr-produkte\/\">IT-Sicherheit: uberAgent Endpoint Security Analytics (ESA), Monitoring und perfekte Erg\u00e4nzung f\u00fcr EDR-Produkte<\/a> vorgestellt. In diesem Beitrag findet sich auch eine M\u00f6glichkeit, Evaluierungs- und Community-Lizenzen zum Testen anzufordern.<\/p>\n<blockquote><p><strong>Anmerkung:<\/strong> Beim Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/08\/26\/gepinntit-sicherheit-uberagent-esa-die-perfekte-ergnzung-fr-edr-produkte\/\">IT-Sicherheit: uberAgent Endpoint Security Analytics (ESA), Monitoring und perfekte Erg\u00e4nzung f\u00fcr EDR-Produkte<\/a> um einen entsprechend gekennzeichneten sponsored Post handelt. Der obige Beitrag ist dagegen kein sponsored Post &#8211; ich hatte Helge Klein gebeten, mich \u00fcber neuere Entwicklungen bei uberAgent zu informieren. Vielleicht ist das Thema ja f\u00fcr den einen oder anderen Blog-Leser von Interesse.<\/p><\/blockquote>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/10\/30\/impressionen-von-it-sa-2022-uberagent-und-mehrbernahme\/\">Info-Splitter von der it-sa 2022: uberAgent und mehr<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/08\/26\/gepinntit-sicherheit-uberagent-esa-die-perfekte-ergnzung-fr-edr-produkte\/\">IT-Sicherheit: uberAgent Endpoint Security Analytics (ESA), Monitoring und perfekte Erg\u00e4nzung f\u00fcr EDR-Produkte<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/01\/17\/tipp-tools-setacl-und-delproof2-nun-gratis\/\">Tipp: Tools SetACL und Delproof2 nun gratis<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ein Sicherheitsthema, welches ich noch nicht wirklich auf dem Radar hatte: Datendiebstahl durch Manipulation des Domain Name Systems (DNS). Das Ganze l\u00e4uft unter den Begriffen DNSteal und DNS Exfiltration. Grob gesagt handelt es sich um Techniken, mit der sich Firewalls &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/05\/06\/dnsteal-data-exfiltration-und-tunneling-ber-dns-techniken-und-erkennung\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-280477","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280477","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=280477"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280477\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=280477"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=280477"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=280477"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}