Schon einmal etwas von Domain „Hijacking“ gehört? Dabei gelingt es Angreifern, Name Server-Einträge von Domains zu manipulieren und Besucher auf ungewünschte Seiten umzuleiten – sei es, um politische Botschaften oder Malware zu verbreiten bzw. Daten zu „phishen“.

Domain-Hijacking bezeichnet die Übernahme einer Domain, deren Inhalte oder eines Benutzerkontos (z.B. Banken, Mail, Facebook, etc.). Dabei gibt es verschiedene Arten und Möglichkeiten der Übernahme. Hier ein paar gängige Beispiele:

• Domain Name Hijacking: Versuch durch eine Klage oder rechtliche Schritte einen Domain-Namen zu erhalten. (Im Falle der mehr oder minder legalen Übernahme des Domain-Namens wird dies auch als Domain-Grabbing bezeichnet.)
• Domain Name System Hijacking: Antworten auf eine DNS Anfrage werden mutwillig umgeleitet und liefern falsche Antworten.
• Netzwerk Hijacking: Ein schlecht geschützter Server wird übernommen.
• Type Writing Hijacking: Es wird versucht, Benutzer durch ähnliche oder sich durch Tippfehler ergebende Namen bekannter Webseiten auf andere Webseiten zu locken.

Eine Möglichkeit diesen Angriff durchzuführen ist, mit gehackten Registrar-Zugangsdaten Einträge in der Registry-Datenbank zu verändern. Von solchen Vorfällen liest man immer häufiger, meist betreffen sie attraktive Domains mit viel Traffic wie Google, die New York Times oder Twitter. Doch das ist nur eines der Bedrohungsszenarien, mit denen sich Domain-Registrierungsstellen auseinander setzen müssen.

Da Registries und Registrare die Schlüsselstellen der Adressierung im Internet sind, werden sie immer öfter zur Zielscheibe für gezielte Angriffe. Ähnlich wie bei einer Burg braucht ein Angreifer immer nur eine kleine Schwachstelle, wie beispielsweise ein unbewachtes Fenster, um einzudringen und Schaden anzurichten. Also muss die ganze Burg verteidigt werden: Von der Zisterne bis zum Tor – von der Registry über den Registrar bis hin zu seinen Resellern. In den letzten Jahren gab es einige dokumentierte Fälle, in denen Angriffe durch eine Schwachstelle in der Kette erfolgreich waren – sei es über gestohlene Credentials, infizierte Netzwerke oder Webapplikationen bis hin zu Social-Engineering Versuchen. Der Großteil dieser Angriffe ist finanziell motiviert: Es existiert ein beachtenswerter Schwarzmarkt, auf dem Botnetze zur Verteilung von Malware stundenweise zur Miete angeboten oder umgeleiteter Traffic verkauft werden. Auch unternehmensrelevante Informationen kann man zu Geld machen – an die gelangt man zum Beispiel, indem MX Resource Records von Domains verändert und der EMail Verkehr mitgelesen werden.

Registries schaffen auf der einen Seite Services, um Domains und das Domain Name Service zusätzlich abzusichern, wie zum Beispiel mit Anycast Nameserver Netzwerken, DNSSEC und dem sogenannten „Registry Lock“. Andererseits muss auch die Vergabestelle selbst sicherheitstechnisch top aufgestellt sein: mit einem Informationssicherheits-Managementsystem (ISMS), das im Unternehmen gelebt wird. Das nic.at ISMS ist seit 2014 erfolgreich ISO 27001 zertifiziert, womit wir zu den Vorreitern bei den europäischen  Domain-Vergabestellen gehören. 

Doch auch Registrare und ihre Reseller müssen einbezogen werden, wenn es um Domain-Sicherheit geht. Auch darüber macht sich das nic.at ISM-Team Gedanken und gibt Hilfestellungen. Zum Beispiel in Form von Vorträgen aber auch im Rahmen von nationalen Sicherheitsübungen, bei denen IT-basierte Notfallszenarien durchgespielt und Registraren zur Verfügung gestellt werden. Das Allerwichtigste ist jedoch die gegenseitige Information und die Bereitschaft, in einem geschützten Umfeld offen und ehrlich über Sicherheitsvorfälle zu sprechen. Denn nur so kann man voneinander lernen, Fehler vermeiden und das allgemeine Sicherheitsniveau heben, wie Bert ten Brinke, Chairman der Security Working Group der europäischen Länder-Registrierungsstellen erklärt.

Michael Hausding ist Security Engineer bei SWITCH, der  schweizer Registry, und beschäftigt sich mit Sicherheitsvorfällen im Registry-Umfeld.

Was macht Registrare und Registries als Angriffsziel interessant?

Der Zugang zu den Nameserver-Einträgen von Domains. Manipuliert man diese, kann man Domains – und somit auch alle Besucher dieser Domains – umleiten. Zum Beispiel auf Seiten, auf denen Malware verteilt wird. Oder auf Phishing-Seiten, wo User-Credentials abgefragt werden. Für einen Angreifer ist es weniger Aufwand ein Passwort zu stehlen und Nameserver zu ändern als meist gut abgesicherte Webserver zu hacken. Manipuliert er Nameserver eines großen ISPs, kann er auf einen Schlag hunderttausende Domains im DNS „hijacken“. Diesen Wert haben die Cyberkriminellen schon erkannt.

Wie können Angreifer Nameserver-Daten manipulieren?
Über den Registrar, der ja Daten-Updates für die von ihm verwalteten Domains machen kann. Mit bekannten Mustern wie dem Ausnützen von Sicherheitslücken von Content Management Systemen oder gezielten  Phishing-Mails an Registrar-Mitarbeiter gelangen Angreifer an Zugangsdaten. Mit diesen Zugangsdaten können sie sich bei den Verwaltungs-Interfaces der Registry einloggen und Daten an Domains verändern.

Was kann die Registry tun, wenn der Registrar gehackt wurde?
Zuerst bei der Analyse unterstützen: Wurden im betreffenden Zeitraum Domain-Daten verändert? Ist Missbrauch passiert? Wenn ja, Hilfestellung bei der Reparatur leisten. Und natürlich neue Zugangsdaten vergeben, Passwörter ändern etc. Wichtig ist, dass die Registry sofort informiert wird.

Wie kann man sich davor schützen?
Registrare können sich schützen, indem sie ihre Systeme regelmäßig patchen, für heikle Transaktionen besonders sichere, benutzerspezifische Passwörter verwenden und diese auch sicher verwahren und regelmäßig ändern. Und natürlich ihr Personal dementsprechend schulen. Domains selbst kann man mit DNSSEC und zusätzlichen  Sicherheits-Features wie „Registry-Lock“ vor unerwünschten Veränderungen schützen.