Angriff auf Firmennetze: Datenklau per DHCP und DNS

Derzeit berichten Sicherheitsunternehmen, etwa Kaspersky, über vermehrte akute Infektionen mit einem alten Bekannten, dem Wurm TDSS, von einigen Antivirenherstellern auch Alureon genannt. Bei TDSS handelt es sich um einen Loader, der dazu dient, weitere Schadsoftware des Angreifers nachzuladen.

Er ist besonders dazu geeignet, gezielte Angriffe gegen ein Unternehmensnetzwerk zu fahren, etwa um Passwörter und Daten zu stehlen. Seine Arbeitsweise ist einfach: TDSS startet einen DHCP-Server im LAN. Zumindest einige Rechner im Netzwerk werden nach dem Einschalten vom angreifenden Rechner konfiguriert.

TDSS verteilt nicht etwa falsche IP-Adressen oder einen falschen Default-Router, sondern einen falschen DNS-Server, der meist außerhalb des Unternehmens steht und vom Angreifer kontrolliert wird. Durch gefälschte DNS-Antworten, wie sie auch bei der staatlichen Internetzensur zum Einsatz kommen, kann der Angreifer den Nutzern unbemerkt falsche Websites unterschieben, ohne dass diese das bemerken.

Problematisch ist dabei, dass DHCP ein absolut ungesichertes Protokoll ist. Faktisch jeder kann in einem Unternehmensnetz einen eigenen DHCP-Server installieren und damit Client-Rechner kapern. Dieses Problem wird bei der Unternehmenssicherheit viel zu wenig berücksichtigt. In der Regel reicht ein Handy mit WLAN-Schnittstelle, etwa mit Android oder iOS, um dem Unternehmen einen gefälschten DHCP-Server unterzuschieben.

Clients, die einen falschen DNS-Server bekommen, können auf vielfältige Weise angegriffen werden. Der aktuelle TDSS-Ausbruch schiebt den Anwendern einen DNS-Server unter, der Abfragen mit einem Webserver eines bisher unbekannten Angreifers beantwortet. Egal, ob der Nutzer www.google.de, intranet.local oder irgendeine andere Adresse in seinen Browser tippt,: Er landet immer auf der Website des Angreifers.

Dort wird dem Anwender erläutert, er müsse ein Browser-Update durchführen. Stimmt er zu, wird die Datei update.exe heruntergeladen und ausgeführt. Vorher muss er eventuell die Warnung der Benutzerkontensteuerung bestätigen.

update.exe stellt zunächst die DNS-Server auf die Google-DNS-Server 8.8.8.8 und 8.8.4.4. Wenn der User ein weiteres Mal eine Internet-URL im Browser aufruft, landet er auf den richtigen Servern. Das führt dazu, dass er in der Regel nichts von dem Angriff bemerkt. Ferner installiert update.exe weitere Malware nach Belieben von einem sogenannten Command-and-Control-Server nach, der ebenfalls vom Angreifer kontrolliert wird.

Diese Form der DNS-Fälschung ist für einen Nutzer mit gutem Verständnis und einen Netzwerkadministrator zu erkennen. Dem Anwender müsste auffallen, dass er zum ersten Mal eine Browser-Update-Seite bekommt. Ferner kann er nach dem Angriff nicht mehr auf Intranet-URLs zugreifen, weil die Google-DNS-Server diese nicht auflösen können.

Obwohl die DNS-Fälschung im Fall von TDSS eher unprofessionell gemacht ist, dürften genügend Nutzer darauf hineinfallen. Ganz anders sieht es beim Unterjubeln des falschen DHCP-Servers aus. Nur wenige Unternehmensnetze sind auf einen solchen Angriff vorbereitet.

Mit einem modifiziertem DNS-Server lassen sich auch weniger offensichtliche Angriffe, vor allem im Bereich Phishing, durchführen. Denkbar wäre natürlich die Fälschung von Banking-Websites. Anders als bei einem klassischen Phishing-Angriff sieht der Nutzer keine verdächtige URL in der Adressleiste des Browsers wie http://kundenservice-hypovereinsbank.de.cc.vu. Der Angriff lässt sich einzig und allein am falschen Zertifikat erkennen, was Endanwendern aber oft nicht auffällt.

Wahrscheinlicher ist es aber, dass ein professioneller Angreifer die Unternehmensserver im Blick hat. Dazu baut er die Startseite eines Intranet-Servers einfach nach und lenkt die DNS-Abfrage auf seinen gefälschten Server. Auf der Login-Seite gibt der ahnungslose Nutzer sein Passwort ein und merkt nicht, dass es ihm in diesem Moment gestohlen wird.

Für den Angreifer besteht ebenfalls die Möglichkeit, seinen falschen Webserver als Proxy zu betreiben. Dieser Server kommuniziert mit dem echten Intranet-Server und leitet alle Anfragen an diesen weiter. So kann er dem Client auch die echten Antworten übermitteln. Der Mitarbeiter in der Firma merkt nichts, der falsche Proxy zeichnet die gesamte Kommunikation auf. Dazu muss der falsche Proxy allerdings im Intranet aufgesetzt werden, idealerweise zusammen mit dem falschen DHCP-Server auf ein- und demselben Rechner.

Falls der angegriffene Intranet-Webserver mit SSL verschlüsselt, ist es für den Proxy nicht ganz einfach, sich dazwischen zu klemmen. Dazu benötigt man ein Zertifikat, dass von den gängigen Browsern akzeptiert wird. Dies ist für einen Angreifer jedoch oft dadurch zu bekommen, indem man sich bei einer Zertifizierungsstelle als Repräsentant der Firma ausgibt. Günstige Anbieter von Zertifikaten interessiert nur, dass die Kreditkartenbuchung funktioniert hat.

Neben frisierten DNS-Servern bieten sich auch andere Möglichkeiten an, mit gefälschten DHCP-Parametern Nutzer auszuspionieren: So kann der Angreifer seinen Clients eine Subnet-Mask von 255.255.255.255 (/32) mitteilen und sich als Default-Gateway eintragen. Dann wird der gesamte ausgehende Traffic des Rechners über den PC des Angreifers geleitet.

Eingehenden Traffic bekommt der Angreifer aber nicht mit, jedenfalls nicht von Rechnern, die nicht mit falschen DHCP-Parametern verseucht sind. Hier könnte der Angreifer noch versuchen, mit falschen ARP-Antworten andere Rechner zu täuschen. Das kann aber sehr leicht zu Problemen im gesamten Netzwerk führen. Ein DNS-Angriff ist daher einfacher, vielversprechender und für Admins schwieriger zu entdecken.

Sicherheit von DHCP oft falsch eingeschätzt

Firmenadministratoren haben oft eine falsche Vorstellung von der Sicherheit von DHCP. Fakt ist, dass DHCP etwas vereinfacht ausgedrückt wie folgt funktioniert: Der Client schickt einen Broadcast ins LAN, dass er IP-Konfigurationsdaten benötigt. Darauf antworten ihm ein oder mehrere DHCP-Server. Der Client nimmt das erste Antwortpaket, dass er bekommt, ohne zu überprüfen, wer es ihm geschickt hat.

Anders ist es auch gar nicht möglich, dass ein mobiles Gerät, etwa ein Laptop oder Smartphone, abwechselnd in Firmennetz, zuhause oder in einem öffentlichen Hotspot betrieben wird. Zum Zeitpunkt der DHCP-Konfiguration weiß der Client über sein Netz noch gar nichts. Es bleibt ihm nichts übrig, als jede Information zu akzeptieren.

Viele Administratoren glauben, dass Ihr Netz vor DHCP-Angriffen sicher ist, weil im Windows Active Directory spezifiziert ist, dass nur autorisierte DHCP-Server betrieben werden dürfen. Das verhindert aber nur, dass der DHCP-Dienst auf einem Windows Server, der Mitglied der entsprechenden Domain ist, gestartet werden kann. Es ist aber ohne Probleme möglich, einen eigenen DHCP-Dienst auf jedem beliebigen Rechner zu starten.

Schutz vor falschen DHCP-Servern

Den besten Schutz vor diesen äußerst gefährlichen Angriffen erzielt man mit dem durchgängigen Einsatz von Multi-Layer-Switches, die sich so konfigurieren lassen, dass DHCP-Antworten nur von autorisierten Servern weitergeleitet werden. Allerdings sind diese Komponenten recht teuer. Für mittelständische Unternehmen lohnt sich diese Investition oft nicht.

Ferner ist zu bedenken, dass ein Schutz durch Multi-Layer-Switches nur dann wirkt, wenn von Benutzern keine eigenen günstigen Consumer-Switches installiert werden. Typischerweise sind in manchen Büros weniger Ethernet-Dosen angebracht, als Rechner vorhanden sind.

Dieses Problem wird oft mit Consumer-Switches beseitigt. In diesem Fall kann ein bösartiger Client zwar nicht das ganze Netzwerk mit falschen DHCP-Daten verseuchen, aber immerhin alle, die am selben Switch hängen, was oft genug Schaden anrichtet.

Eine weitere Maßnahme ist der Einsatz von Netzwerksniffern, die idealerweise mit einem Netzwerkmanagement-System wie Nagios verbunden sind. Ein unautorisierter DHCP-Server kann so leicht erkannt werden, da das DHCP-Protokoll mit Broadcasts arbeiten muss. In gerouteten Unternehmensnetzwerken muss pro LAN-Segment mindestens ein Sniffer aufgestellt werden. Jedes professionelle Intrusion Detection System beherrscht die Erkennung falscher DHCP-Server. Man muss dieses Feature allerdings richtig konfigurieren.

Nachteil dieser Methode ist, dass die Gefahr erst dann erkannt wird, wenn ein nicht autorisierter DHCP-Server bereits sein Unwesen treibt und falsche Daten verteilt. Es gilt dann, sofort zu handeln.

Ein einfacher DHCP-Monitor befindet sich in den Windows Support Tools. Es heißt dhcploc.exe und wird mit Windows Server 2003 ausgeliefert. Es tut seinen Dienst allerdings auch unter Windows Server 2008 und 2008 R2 sowie Client-Betriebssystemen. Es lässt sich so konfigurieren, dass die autorisierten DHCP-Server nicht als Bedrohung erkannt werden. Sobald ein weiterer DHCP-Server hinzukommt, schlägt das Programm Alarm. Da es sich um ein einfaches Kommandozeilentool handelt, ist es für größere Netzwerke nicht geeignet.

Fazit

Die derzeit kursierende Malware TDSS, die einen DHCP-Server im LAN installiert und den Clients falsche DNS-Server unterschiebt, ist äußerst gefährlich. Damit ist es möglich, gezielte Spionageangriffe durchzuführen, wie sie beispielsweise in Sonys Playstation Network zu einem Datenverlust und einem Gesamtschaden in Milliardenhöhe geführt haben.

Die Malware kann gezielt von einem Mitarbeiter eingeschleust werden, der dafür von Hackern bezahlt wurde. Sie muss nicht unbedingt versehentlich in das Unternehmensnetzwerk gelangt sein.

Viele Administratoren unterschätzen die Gefahr durch falsche DHCP-Server. Hersteller wie Microsoft vermitteln ein falsches Gefühl der Sicherheit. Es ist auf jeden Fall erforderlich, Maßnahmen zu ergreifen, mit denen solche Angriffe entdeckt werden können. Insbesondere bei bestimmten mittelständischen Unternehmen, etwa Automobilzulieferer, ist die gefahr groß, Opfer von gezielten Spionageangriffen zu werden.