Startseite > Security > DNS und die Geschichte von Muddling Meerkat

Gastkommentar von Infoblox

DNS und die Geschichte von Muddling Meerkat

4. Juni 2024, 11:00 Uhr | Autorin: Renée Burton / Redaktion: Diana Künstler

Das Domain Name System ist heute immer noch das unverzichtbare Rückgrat, das das Internet am Laufen hält, indem es benutzerfreundliche URLs in maschinenlesbare IP-Adressen übersetzt. Aber DNS hat mehr zu bieten – es ist eine mächtige Waffe für Cybersecurity.

DNS ist Teil jeder Netzwerkverbindung, ob gut oder bösartig, und erstreckt sich über das gesamte Netzwerk. Diese einzigartige Position macht DNS zum besten Freund von SecOps-Teams und ermöglicht es, Cyberkriminalität zu bekämpfen, wo sie beginnt und das bestehende Security-Ökosystems zu verbessern.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Bedrohungsakteur im Dienste Chinas

Allerdings ist das offene und dezentrale DNS auch ein Tor für Angreifer, die es zunehmend missbrauchen. Hier beginnt die Geschichte von Muddling Meerkat¹. Dieser Bedrohungsakteur, der mindestens seit Oktober 2019 unentdeckt operiert scheint auf den ersten Blick „nur“ Slow-Drip-DDoS-Angriffe durchzuführen. Aber es ist höchst unwahrscheinlich, dass sein eigentliches Ziel darin besteht, Dienste zu überlasten. Bei einer so gezielten Aktivität über einen so langen Zeitraum ist es jedoch wahrscheinlicher, dass Muddling Meerkat Aufklärungsarbeit leistet und zukünftige Angriffe vorbereitet.

Die Aktivitäten dieses Bedrohungsakteurs liefern ein klares Beispiel dafür, wie DNS von Angreifern ausgenutzt werden kann – und wie es genutzt werden kann, um solche Bedrohungen weit vor anderen Sicherheitsmaßnahmen zu erkennen. Muddling Meerkat scheint nämlich eine gewisse Kontrolle über die Great Firewall von China (GFW)² zu haben. Die DNS-Expertise, die Muddling Meerkat besitzt, ist ungewöhnlich hoch und extrem beunruhigend.

Dies zeigt deutlich wie notwendig robuste DNS-basierte Sicherheitsstrategien sind. Solche Strategien konzentrieren sich auf präventiven Schutz und greifen lange bevor eine Bedrohung aktiv ist. Im Fall von Muddling Meerkat zeigten die DNS-Einträge, die von der GFW zurückkamen, eindeutig, dass etwas nicht stimmen konnte. Die Firewall gab nämlich gefälschte Antworten für Mailserver (MX) Record Queries zurück, die nicht existieren. Während bekannt ist, dass die GFW gefälschte DNS-Antworten einfügt, wurde noch nie beobachtet, dass sie gefälschte MX-Anfragen bereitstellt. Zusätzlich zeigt Muddling Meerkat eine Reihe anderer cleverer Techniken, einschließlich der Nutzung „super alter“ Domains.

Durch die umfassende Netzwerktransparenz, die DNS bietet kann DNS Detection & Response (DNSDR) Bedrohungen identifizieren und neutralisieren, bevor sie eskalieren, und bietet damit umfassenden und präventiven Schutz. DNSDR ist nicht nur „nice to have“, sondern notwendig für eine robuste Sicherheitsinfrastruktur, die es ermöglicht, die MTTR zu reduzieren und Zero-Day-DNS-Angriffe innerhalb von Minuten zu stoppen.

Die Anzahl und Vielfalt der Akteure, die sich erfolgreich im DNS verstecken, sollte ein Weckruf für jeden Sicherheitsprofi sein. Dazu gehören die von Infoblox Threat Intel gefundenen Akteure, wie das DNS C2 Malware Toolkit Decoy Dog, der bösartige Link-Verkürzungsdienst Prolific Puma, das größte bekannte kriminelle Trafficdistributionssystem VexTrio Viper und der DNS CNAME Akteur Savvy Seahorse.

Erkenntnisgewinn mittels DNS

Erkenntnisse über diese Bedrohungsakteure zu teilen und ihrer Machenschaften zu verstehen ist entscheidend für die Verbesserung unserer kollektiven Cybersicherheit. Durch das Verständnis ihrer Taktiken, Techniken und Prozesse (TTPs) können wir effektivere Abwehrmaßnahmen entwickeln und ihnen einen Schritt voraus sein.

Zusammenfassend ist DNS nicht nur ein Werkzeug zur Auflösung von Domainnamen in IP-Adressen. Es ist eine mächtige Waffe für unsere Cybersicherheit und eine Schatzkammer an Erkenntnissen für Sicherheitsprofis. Durch das Verständnis und die Nutzung von DNS können wir unsere Cybersicherheit verbessern und uns digital besser schützen.

^{1 https://insights.infoblox.com/resources-report/infoblox-report-muddling-meerkat-the-great-firewall-manipulator

2 https://en.wikipedia.org/wiki/Great_Firewall}