Es regnet Ratten und Hunde, mit DNS als Ziel: Wie Infoblox auf Decoy Dog-Anpassungen reagiert

Jul 15, 2023

AKTUALISIERT 18:37 EDT / 1. AUGUST 2023

GASTKOLUMNE von Zeus Kerravala

Infoblox Inc. hat kürzlich einen zweiten Bedrohungsbericht veröffentlicht, um Updates zum Remote Access Toolkit (RAT) namens „Decoy Dog“ bereitzustellen, das das Unternehmen im April entdeckt hat. Um Befehl und Kontrolle zu gewährleisten, verwendet Decoy Dog das Domain Name System. Das Unternehmen vermutet außerdem, dass es sich dabei um ein geheimes Werkzeug handelt, das Nationalstaaten bei Cyberangriffen einsetzen.

Nachdem Infoblox bekannt gegeben hatte, dass es von der RAT wusste – insbesondere von einer Variante einer RAT namens Pupy – passten sich die Bedrohungsakteure an, um den kontinuierlichen Betrieb sicherzustellen. Das Unternehmen gibt an, seit der Veröffentlichung seiner Ergebnisse am 23. April weiterhin an Decoy Dog und Pupy geforscht zu haben. In seinem Bedrohungsbericht schreibt es, dass Decoy Dog eine bedeutende Weiterentwicklung von Pupy darstellt. Es verwendet Befehle und Konfigurationen, die sich nicht in den öffentlichen Repositorys befinden.

Infoblox berichtet, dass es Algorithmen entwickelt hat, um die Client-Kommunikation von Decoy Dog zu trennen und mehrere andere Eigenschaften über jeden Controller abzuleiten. Die neuen Algorithmen unterstreichen etwas, worüber wir schon seit einiger Zeit nachgedacht haben: Wenn Ihr DNS unsicher ist, kann die Eingangstür Ihres gesamten Unternehmens genauso gut unverschlossen bleiben. Infoblox verfügt über ein im Handel erhältliches DNS-Erkennungs- und Antwortsystem oder DNSDR-System.

DNSDR ist gut gerüstet, um mit der typischen Angriffssequenz umzugehen. Beispielsweise könnte ein Angreifer in der sogenannten Waffenisierungsphase eine bösartige Nutzlast erstellen. Anschließend wird die Nutzlast an ein Ziel übermittelt, häufig über eine Spear-Phishing-E-Mail.

Wenn ein Benutzer dann auf den Link klickt, fordert das Gerät eine Verbindung zum Internetstandort an und die Suche erfolgt über einen DNS-Server. Netzwerksicherheitsgeräte wie Next-Generation-Firewalls und Web-Gateways beginnen mit der Verarbeitung des Datenverkehrs – und anschließend wird die Verbindung hergestellt. Sobald die Verbindung hergestellt ist, wird die Nutzlast heruntergeladen und auf dem Zielgerät ausgeführt.

Der erste Schritt in diesem Prozess erfolgt über DNS. Mit DNSDR kann ein Unternehmen die Bedrohungen ausmerzen, bevor sie sich auf die lebenswichtige Infrastruktur auswirken. Dies war bei Decoy Dog und Pupy der Fall.

Infoblox gibt an, die wichtigsten Merkmale der Malware und der Betreiber kennengelernt zu haben. Es besteht die Gefahr, dass der Einsatz von Decoy Dog zunimmt und eine Vielzahl von Organisationen auf der ganzen Welt betrifft.

„Es liegt auf der Hand, dass DNS die erste Verteidigungslinie für Unternehmen sein sollte, um Bedrohungen wie Decoy Dog zu erkennen und abzuwehren“, sagte Scott Harrell, CEO von Infoblox. „Wie Decoy Dog gezeigt hat, können wir durch das Studium und tiefe Verständnis der Taktiken und Techniken des Angreifers Bedrohungen blockieren, bevor sie überhaupt als Malware bekannt werden.“

Die Abwehr solcher Bedrohungen erfordert einen anderen Ansatz. Durch die Fokussierung auf typische Malware-Ziele bleiben Unternehmen im Rückstand. Der Schutz vor RATs und Hunden erfordert einen DNS-zentrierten Ansatz – insbesondere angesichts der Statistik, die Infoblox in seiner Pressemitteilung zitiert hat: Laut Anne Neuberger, Direktorin, nutzen mehr als 90 % der Malware-Angriffe DNS, um Befehl und Kontrolle über ein Zielnetzwerk zu erlangen für Cybersicherheit bei der National Security Agency. Unternehmen, die ihr DNS unbeaufsichtigt lassen, riskieren, dass sich die Bedrohungen in ihrer Infrastruktur festsetzen und schweren Schaden anrichten.

Infoblox gibt an, 21 Decoy Dog-Domains zu überwachen, von denen einige im letzten Monat registriert wurden. Der Schlüssel liegt darin, dass Unternehmen die Branchenforschung überwachen und ihr DNS als Frühwarnsystem nutzen. Infoblox ist Vorreiter.

Dr. Renée Burton, Leiterin der Bedrohungsaufklärung bei Infoblox, wird am 9. August bei Black Hat in Las Vegas sprechen. Der diesjährige Vortrag von Renée dürfte eine faszinierende Diskussion über Ratten und Hunde sein. Und ich bin mir ziemlich sicher, dass es bis dahin noch weitere Entwicklungen geben wird. Infoblox bietet den Teilnehmern auf der Black Hat Show ein einzigartiges praktisches Erlebnis bei der Arbeit mit einem Decoy Dog-Datensatz.

Zeus Kerravala ist Principal Analyst bei ZK Research, einem Geschäftsbereich von Kerravala Consulting. Er hat diesen Artikel für SiliconANGLE geschrieben.

DANKE

Es regnet Ratten und Hunde, mit DNS als Ziel: Wie Infoblox auf Decoy Dog-Anpassungen reagiert

Cloudera ernennt den Veteranen der Softwarebranche, Charles Sansbury, zum CEO

Der Rechenzentrumsbauer Stack Infrastructure nimmt eine weitere Fremdfinanzierung in Höhe von 250 Millionen US-Dollar auf

Uber-Aktien fallen aufgrund gemischter Gewinne im zweiten Quartal

Fünf große Technologieunternehmen bilden eine Allianz rund um OpenUSD für den 3D-Metaverse-Grafikstandard

Vast Data kündigt globale Dateninfrastrukturebene für KI-Workloads an

Es regnet Ratten und Hunde, mit DNS als Ziel: Wie Infoblox auf Decoy Dog-Anpassungen reagiert

SICHERHEIT – VON ZEUS KERRAVALA. VOR 1 MIN

Cloudera ernennt den Veteranen der Softwarebranche, Charles Sansbury, zum CEO

BIG DATA – VON MARIA DEUTSCHER. VOR 1 STUNDE

Der Rechenzentrumsbauer Stack Infrastructure nimmt eine weitere Fremdfinanzierung in Höhe von 250 Millionen US-Dollar auf

INFRA – VON MARIA DEUTSCHER. VOR 3 STUNDEN

Uber-Aktien fallen aufgrund gemischter Gewinne im zweiten Quartal

APPS – VON MARIA DEUTSCHER . 5 STUNDEN ZUVOR

Fünf große Technologieunternehmen bilden eine Allianz rund um OpenUSD für den 3D-Metaverse-Grafikstandard

NEUE TECHNOLOGIEN – VON KYT DOTSON. VOR 6 STUNDEN

Vast Data kündigt globale Dateninfrastrukturebene für KI-Workloads an

KI – VON MIKE WEATLEY. VOR 7 STUNDEN