Wat DNS-encryptie betekent voor enterprise threat hunters

  • 6 minuten
  • 25 februari 2020

Op een bepaalde manier heeft de bekendbaarheid van domain name service-aanvallen (DNS) in de wereld geholpen om bewustzijn te creëren rondom een probleem in het afvoerputje van het internet. De infrastructuur achter de DNS lijdt aan een gebrek aan ingebouwde security waardoor internetgebruikers risico lopen.

Het jarenlange werk aan de Domain Name System Security Extensions (DNSSEC) specificaties gaat door om een betere manier te vinden om DNS te beveiligen terwijl het flexibel genoeg is om op te schalen naar enterprise, en grotere, netwerken. Groei van DNSSEC is echter langzaam in de meeste landen. Wellicht door het ongeduld rondom de groeiende successen van DNSSEC, zijn er bedrijven die overstappen naar nieuwe methoden om DNS-traffic te beveiligen, zoals DNS via TLS (DoT), DNSCrypt, DNSCurve en, recenter, DNS via HTTPS (DoH).

Op dit moment zijn we getuige van een strijd om de controle over de DNS met een duwtje in de rug om de DNS over HTTPS te beveiligen. Aangezien DNS-verzoeken en -antwoorden traditioneel zonder versleuteling worden verzonden, kunnen SOC-teams (Security Operations Center) die toezicht houden op bedrijfsnetwerken de domeinen die worden opgevraagd controleren en gebruikers de toegang tot kwaadaardige domeinen ontzeggen. Onversleutelde DNS-verzoeken zijn zeker minder privé, maar informatie van het DNS-niveau is altijd al een kritische gegevensbron geweest voor het toezicht op de veiligheid van een netwerk.

Met de introductie van DoH worden DNS-verzoeken versleuteld via het HTTPS-protocol, waardoor ze worden verborgen voor het gemakkelijke bereik van de netwerkbeveiliging. Laten we, afgezien van andere aspecten van DoH, zoals privacy en centralisatie van de controle over het internet, bespreken hoe de veiligheid van private en publieke netwerken wordt beïnvloed.

Verlies van zichtbaarheid daagt de beveiliging van bedrijven uit

Voor SOC-teams is het negatieve effect van DoH dat het hen blind maakt voor malwarecommunicatie die zich gemakkelijker kan voordoen als normaal HTTPS-verkeer in het netwerk. Zoals DNS-pionier Dr. Paul Vixie benadrukte in een interview met ESET-securityevangelist Tony Anscombe:

Als netwerkoperator...moet ik kunnen zien wat mijn gebruikers, applicaties en apparaten doen in DNS om erachter te komen welke van hen een indringer is, welke van hen malware is, welke van hen deel uitmaakt van een botnet, die een vergiftigde supply chain is... Ik moet dat kunnen zien om mijn netwerk veilig te houden. Wanneer mensen met een project als DNS via HTTPS komen en zeggen “Ja, we willen het onmogelijk maken voor de netwerkoperator om zich te bemoeien met DNS-verkeer,” begrijpen zij mijn taken duidelijk niet.

Malware communiceert vaak naar een command and control (C&C) server via HTTP en HTTPS - door de MITRE ATT&CK-kennisbank geïdentificeerd als een ‘standard application layer protocol technique’. ESET-Research observeerde bijvoorbeeld PolyglotDuke, een toen pas ontdekte downloader in dienst van de Dukes (APT29) in Operation Ghost, die C&C-URL’s van social media diensten zoals Twitter en Reddit ophaalde en vervolgens contact opnam met die C&C-servers om de MiniDuke-backdoor op de slachtoffercomputers te installeren.

Om het kwaadaardige karakter van deze communicatie te verbergen, hebben de Dukes de C&C-URL’s gecodeerd door gebruik te maken van karaktersets uit verschillende talen, met name Japans, Cherokee en Chinees - vandaar dat ESET deze downloader nasynchroniseert als “PolyglotDuke.”

Wat als malware zijn communicatie achter DoH zou kunnen verbergen? In feite vonden de onderzoekers van Proofpoint een nieuwe update van de sextortionmodule van de PsiXBot-malware die gebruik maakt van de DoH-service van Google om C&C-IP-adressen op te halen, waardoor aanvallers de DNS-query achter HTTPS kunnen verbergen. De Dukes en andere kwaadwillende actoren zouden hun toolkits kunnen uitbreiden om DoH te gebruiken, wat natuurlijk zou helpen om C&C-communicatie in de toekomst te verbergen voor de ogen van IT-beheerders.

DNS-versleuteling brengt weliswaar wat goeds, maar schakelt een aantal beveiligingen uit. Dit heeft vooral invloed op netwerkgebaseerde beveiligingsoplossingen, wat het belang onderstreept van een hoogwaardige, meerlaagse securityoplossing voor endpoints.

Zicht krijgen op malware die via versleutelde DNS communiceert

SOC-teams doen er goed aan om op de hoogte te blijven van de laatste inspanningen van Mozilla, Google en anderen om DoH te leveren. Op deze manier kunnen IT-beheerders de software en configuraties van apparaten voor de inspectie van netwerkverkeer updaten om de toegang tot nieuwe DoH-diensten te blokkeren wanneer deze zich voordoen. Google biedt bijvoorbeeld DoH aan over bepaalde stabiele adressen die admins op firewall-niveau kunnen blokkeren.

Het blokkeren of uitschakelen van bekende DoH-services is echter slechts een eerste stap op weg naar het detecteren van kwaadwillig gebruik van gecodeerde DNS-verzoeken in uw bedrijfsnetwerk. Meer geavanceerde SOC-teams zouden gebruik moeten maken van een EDR-tool (endpoint detection and response) waarmee ze onder andere kwaadaardige DNS-querygebeurtenissen kunnen identificeren en vastleggen, en verbindingen met kwaadaardige C&C-servers kunnen onderzoeken.

Als het gaat om het monitoren van DoH-verkeer van Firefox- en Chrome-browsers, kan het SOC-team onder andere de zichtbaarheid behouden door aangepaste beveiligingscertificaten op endpoints te installeren en het verkeer van de browser via een proxy te routeren. Dit zou het mogelijk maken om een oplossing voor de inspectie van netwerkverkeer op te zetten die DoH begrijpt, HTTPS-inspectie kan uitvoeren voor inline ontsleuteling, inspectie, logging, etc., en eventuele gebeurtenissen kan doorsturen naar een EDR-tool voor verdere analyse.

Let op dat sommige browsers wel controleren op pinned certificaten, maar dat een lokaal geïnstalleerd veiligheidscertificaat de gebruikelijke controles kan opheffen. Noch Firefox-, noch Chrome-browsers controleren echter op het moment van schrijven op pinned certificaten.

Er zijn andere opties om met DoH om te gaan. Net als bij het opzetten van interne DNS-servers, kunnen organisaties ook interne DoH-servers opzetten die het mogelijk maken om alle verzoeken in te zien. Als alternatief kan DoH gewoon worden uitgeschakeld, zoals Mozilla mogelijk maakt voor hun Firefox-browser.

De technische oplossingen voor het aanpakken van de veiligheidsproblemen van het DoH-protocol zijn gevarieerd. In de toekomst is het cruciaal voor het succes van elk SOC-team om zich bewust te zijn van de toegenomen mogelijkheden die dit nieuwe protocol kan bieden aan kwaadwillende actoren, evenals de gevolgen voor de netwerkbeveiliging. Op deze manier kan een passend beveiligingsbeleid met betrekking tot het gebruik van DoH voor het bedrijf worden ingesteld en door het SOC-team worden afgedwongen.