Forhindre DNS-angrep med Palo Alto Networks

Palo Alto Networks-brannmuren din klarer allerede mye, men i møte med DNS-trusler kan det være lurt å gi den litt ekstra hjelp.

Safety-concept-Closed-Padlock_shutterstock_700

 

Helt fra historiens spede begynnelse, har frontal opprustning ført til flankeangrep. Fienden tilpasser seg forsvaret, og forsvaret tilpasser seg fienden, i en evig runddans. 

Sånn er det også i IT-verdenen. Når vi sikrer e-post , nettlesere, harddisker og trådløse nettverk til den store gullmedaljen, finner fiendtlige aktører andre veier til verdiene. DNS er et eksempel på en kanal som for mange har gått under radaren.

«The Domain Name System (DNS) is wide open for attackers. (...) almost 80 percent of malware uses DNS to initiate command-and-control (C2), let alone use advanced evasion tactics like DNS tunneling, or the high volume of malicious domains.»
Palo Alto Networks

 

Hva er Domain Name System (DNS)? 

Se på kontaktlisten på telefonen din. Har du tenkt på hvorfor den er så nyttig? I prinsippet kunne du jo bare hatt en liste med alle disse numrene, men hadde du da klart å huske forskjell på dem? Neppe. Derfor har du muligheten til å knytte et navn til hvert nummer. Du skal kanskje egentlig ringe +47 23 16 80 00, men i praksis trykker du bare på «Petter». 

DNS gjør på mange måter det samme, men forskjellen er at de underliggende numrene er IP-adresser. Hvis du skal lese Aftenposten på nett, skriver du bare inn ap.no i nettleseren. Dette oversetter DNS-protokollen til numeriske verdier, i formatet 192.168.0.1. 

DNS er et genialt system som gjør internett brukbart for oss ikke-maskiner. Dessverre er det også en yndet funksjon som misbrukes av hackere.

 

Derfor er DNS blitt sårbart, og slik jobber hackerne

DNS er flere tiår gammel teknologi, og stammer fra en tid der vi brukte internett på en annen måte. Det fantes ikke smarttelefoner den gangen, og IoT-begrepet eksisterte knapt. Siden den gang har antallet tilkoblede enheter eksplodert, og alt som kobler seg på internett sender DNS-forespørsler. Det har gitt hackerne milliarder av mulige portaler inn til nettverkene til både små og store aktører. 

Er for eksempel røykvarsleren koblet til det trådløse nettverket ditt? Da er dette en mulig inngangsport. Trusselbildet er blitt uhyre komplekst og krevende å overvåke. Hackere har flere måter å utføre DNS-angrep på. De vanligste er Domain Generation Algorithms (DGA), DNS Tunneling og Command & Control. Slik fungerer de:

 

1. Domain Generation Algorithms (DGA) 

Tradisjonelle sikkerhetsmekanismer stoppet trafikk til kjente, fiendtlige IP-adresser. Angriperne har imidlertid stadig funnet nye måter å omgå dette på, blant annet ved å bruke DNS. Du kan nemlig ikke svarteliste adresser som ikke eksisterer ennå. 

En Domain Generation Algorithm lager tusenvis av domener hver dag, og endrer det som heter Fully Qualified Domain Name (FQDN) regelmessig. Ved å gi domenene kort levetid, og regelmessig lage nye, klarer ikke tradisjonelle sikkerhetsmekanismer å holde tritt. Dermed kan de kriminelle aktørene bevege seg under radaren. 

Hvis du er blitt infisert av malware, kan angriperen manipulere DNS-forespørslene dine og sende deg til en slik fiendtlig IP-adresse. Når forbindelsen til den fiendtlige serveren så er opprettet, kan de jobbe videre i det stille. Kanskje vil de ha data, kanskje vil de jobbe seg videre utover i nettverket ditt og til slutt havne hos en storfisk. 

Under det svært lange og stillferdige SolarStorm-angrepet, var DGA en sentral suksessfaktor. Angriperne brukte minst 663 forskjellige domener.

 

2. DNS Tunneling – litt som Shawshank Redemption

I den berømte filmen The Shawshank Redemption graver en av de innsatte seg gjennom celleveggen sin med en steinhammer. Bit for bit, hver kveld, gjennom mange år. Hullet skjuler han bak en plakat, og daglig frakter han en neve steinmasse ut i luftegården der han umerkelig lar den drysse ned på bakken. Så, en morgen, er han vekk – og ingen forstår hvor han har tatt veien før fengselsdirektøren ved en tilfeldighet oppdager at veggen bak plakaten er hul. Oh boy. 

DNS Tunneling minner om dette. Det går ut på å bruke DNS-protokollen til å overføre data uten at sikkerhetsmekanismene er klar over det. Metoden brukes typisk av lavtliggende inntrengere som blir værende på serveren over tid. Ettersom DNS-protokollen vanligvis brukes til å overføre små datamengder, og større datapakker vil vekke oppsikt, deler inntrengeren data (steinmasse) opp i bitte små porsjoner og frakter dem usett ut av serveren.

Når overføringen er fullført kan inntrengeren bare trekke seg stille tilbake, eller fortsette å grave etter nye data fra virksomhetens vanlige drift – de er jo lykkelig uvitende om at noen stjeler data fra dem. Enten det er film eller virkelighet, kan du være sikker på at det blir lunken stemning på sjefens kontor når tunnelen kommer for dagen. 

 

3. Command & Control – når en usynlig inntrenger overtar

DNS tunneling kan også brukes til å opprette kommandokanaler (bakdører), som lar angripere snike seg inn og overta kontrollen over serveren din. Dette sto sentralt i angrepet mot Østre Toten kommune i januar 2021. 

Når hackerne først har overtatt kontrollen over serveren din, kan det være vanskelig å oppdage det. I tradisjonell krigføring har det vært mulig å slåss tilbake mot okkupanter – men hva gjør du når du ikke aner hvor de befinner seg? Mens DNS-ofre taper både ansikt og verdier, opptrer angriperne fullstendig uten identitet. 

De fleste har automatiske backup-systemer knyttet til serveren sin. Du kan være sikker på at dagens DNS-hackere har tenkt på dette også. For at angrepet skal ha effekt, sørger de for å slette alt de finner av backup. Dermed står du virkelig på bar bakke. De håper det gjør deg villig til å bla opp gode penger for å få tilbake tilgangen til serveren.

Og det har de ofte rett i.

 

Styrk Palo Alto Networks-brannmuren med DNS-sikkerhet

I denne videoen kan du se en av produktsjefene i Palo Alto Networks forklare hvordan DNS security service jobber i tospann med Next Generation Firewall. Kortversjonen er som følger: 

Vern mot kjente, skadelige domener

Når en av enhetene dine gjør en DNS-forespørsel gjør Palo Alto Networks DNS security service en umiddelbar lookup, og sjekker om domenet er merket som skadelig. Er den kjent og skadelig, stanser brannmuren din forespørselen. Er den kjent og ikke-skadelig, tillates trafikken. Denne sikkerhetsmekanismen bygger på prinsippet wealth of data, altså at kontroll mot et enormt datagrunnlag vil sikre brukeren. 

Men hva om domenet er ukjent, altså ikke tidligere registrert? Skal brannmuren da tillate trafikken?

Vern mot ukjente, skadelige domener

I møte med et ukjent domene vil Palo Alto Networks DNS security service på millisekunder ta en beslutning. Tillate eller ikke? Ved hjelp av maskinlæring og analyse av de enorme mengdene domener, har tjenesten lært seg mye om alarmerende kjennetegn. 

Tjenesten utfører en prediksjon basert på det den faktisk vet. Den ser på egenskaper som domenets:

  • alder
  • entropi – ser den ut til å være tilfeldig generert?
  • bruksmønster – oppdager den atypisk atferd?

Hvis den oppfatter domenet som en mulig trussel, vil brannmuren få beskjed og stenge for trafikken. Den vil også hindre nye forsøk på å koble seg til domenet. 

Takket være regnekraften i tjenesten, klarer den å gjøre hele denne operasjonen i sanntid. Dermed sikrer du en knirkefri brukeropplevelse. 

 

Thumbnail_Hvorfor-sikre-DNS   Gøran DNS
Se video hvor Gøran Tømte snakker med Alex Hinchliffe, Threat Intelligence Analyst i Unit 42 om hvorfor man skal sikre DNS. Se kortversjon her (90 sekunder)
 
I videoen (5 minutter) viser Gøran hvordan man kan man adressere DNS-sikkerhet. 

 

Hvordan sikrer jeg meg mot DNS-trusler? 

Hvis du allerede er Palo Alto Networks-kunde, er det svært enkelt å beskytte seg. Det handler bare om å aktivere en lisens. Det kan vi hjelpe deg med. Denne er mulig å aktivere for en 90 dagers testperiode, og tar under fem minutter å konfigurere i brannmuren. 

Er du ikke Palo Alto Networks-kunde fra før, anbefaler vi at du kontakter oss for en konsultasjon. Da ser vi sammen på behovene dine, og legger en slagplan for å sikre alle dine verdier mot et trusselbilde som stadig endrer seg  – selvfølgelig også det som gjelder DNS.