982463

Gefahr von Phishing 2.0 mittels korruptem DNS nimmt zu

12.12.2007 | 06:59 Uhr |

Forscher von Google und dem Georgia Technologie Institut in Atlanta untersuchen derzeit eine fast unbemerkbare Form von Computer-Attacken, die still und leise kontrollier, wohin ein Opfer im Internet umgeleitet wird.

Die Forscher warnen, dass die Zuverlässigkeit und Vertrauenswürdigkeit des Internets auf dem Spiel steht. Das Ergebnis der Studie „Korrupte DNS-Auflösungen (Corrupt DNS Resolution Path“ wird auf dem Symposium für Sicherheit in Netwerken und verteilten Systemen (NDSS) in San Diego im Februar 2008 diskutiert und soll Ende dieser Woche im Internet veröffentlicht werden. Untersucht werden so genannte „offene rekursive“ DNS-Server. Während in der Regel zum Auflösen einer URL-Anfrage in eine IP-Adresse eine ganze Reihe von nicht-rekursiven DNS-Server antworten und sich gegenseitig zur richtigen Antwort ergänzen, liefern rekursive DNS-Server direkt eine komplette IP-Adresse. Mit deren Hilfe und einer neuen Angriffs-Technik entwickeln Kriminelle nun eine neue Generation von Phishing-Attacken.

Schätzungsweise 17 Millionen offene rekursive DNS-Server sind im Internet vorhanden und die überwiegende Mehrheit antwortet mit der korrekten Adresse. Die Ergebnisse der Studie zeigen jedoch, dass 0,4 Prozent (68.000) dieser offenen rekursiven DNS-Server gezielt falsche Antworten liefern. Weitere 2 Prozent liefern fragwürdige Adressen.

David Dagon, einer der Autoren der Studie von Georgia Tech, beschreibt das Verhalten als „Verbrechen mit nur wenigen Zeugen.“ Die Server leiten alle URL-Anfragen auf Internetserver mit ausschließlich Werbung oder zwielichtigen Inhalten um. Attacken auf DNS-Server sind nicht neu und Online-Täter greifen seit nunmehr vier Jahren die DNS-Einstellungen von Computern an. Neuerdings aber wird laut Dagon statt Viren immer mehr webbasierte Malware eingesetzt.

Sobald die Malware auf einer Webseite oder in einem Email-Anhang vom Anwender aktiviert und dieser Exploit nicht entdeckt und abgefangen wird, werden die DNS-Einstellungen mit der Adresse des falschen Servers überschrieben. Die Studie beschränkt sich auf Untersuchung von Exploits, die DNS-Einstellungen in Registrierungsdatei von Windowsrechnern ändern. In der Regel liefert der falsche Server die richtigen Adressen, kann aber jederzeit, wie zum Beispiel mitten im Online-Banking, auf Phishing-Seiten umleiten. Da diese Eingriffe auf DNS-Ebene erfolgen, wird installierte Anti-Phishing-Software die Phishing-Seiten nicht erkennen.

Chris Rouland, der technische Leiter der IBM-Internet-Sicherheitsabteilung warnt: “Das ist eine offene Hintertür. All unsre Sicherheitssoftware ahnt nichts davon.“ Rouland erwartet in den kommenden Monaten zunehmend DNS-Attacken von Web 2.0-basierten Seiten, da diese leicht aus Komponenten bestehen, die von vielen verschiedenen Servern geladen werden.

In der Studie wurden die Such-Roboter von Google zum Scannen von Inhalten eingesetzt und 2.100 Webseiten mit Exploit-Code zum Ändern der Registrierungsdatei in Windows gefunden. Zusammen mit einem weiteren Co-Autor Wenke Lee gründete Dagon im letzten Jahr die Firma Damballa Inc., die Schutzprogramme gegen diese Attacken entwickelt.

0 Kommentare zu diesem Artikel
982463