:quality(80)/p7i.vogel.de/wcms/d7/ca/d7ca53fb63877b71ed8f40be734754ca/0117973730.jpeg "Die große Leserwahl zum Security-Insider-Award 2024 hat begonnen! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/ed/9fed7160871e01f51ccab928dbaeab92/0118467232.jpeg "Cyberkriminelle können durch eine Schwachstelle komplette Konten bei GitLab übernehmen. Zwei-Faktor-Authentifizierung schützt nicht vor dem Angriff aber vor der Kontenübernahme. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/a1/2ba1aa634bb635185b992c84d6fafe4a/0118481703.jpeg "Eine Analyse aktueller Telemetriedaten von Kaspersky zeigt, dass Unternehmen im Schnitt zwei Cybervorfälle pro Tag verzeichnen müssen. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351d4b937d1f9dc0224fa277a3a74de/0118466557.jpeg "Bei Sniffing- und Man-in-the-Middle-Angriffen weiß der Betroffene eigentlich nie, dass ein Verbrecher da ist, bis er Maßnahmen ergreift. (Bild: somyuzu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/34/5d34836fbfae674ca8e6f10841213b03/0118372926.jpeg ""Wie viel Kontrolle benötigt KI?", ein Interview von Oliver Schonschek, Insider Research, mit Oliver Keizers von Semperis. (Bild: Vogel IT-Medien / Semperis / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/71/1f/711feeca53f58761a7d711bf317aec47/0118276223.jpeg "Cullen Childress von SolarWinds warnt davor, KI zu vorschnell einzusetzen – mahnt in Sachen KI aber auch Technologie- und Fortschrittsoffenheit an. (Bild: SolarWinds)")
:quality(80)/p7i.vogel.de/wcms/c3/02/c302cd9efb930246cc8bde485a6f83ec/0118446808.jpeg "Erfolgreiche SIEM-Projekte setzen auf umfassende Tests, spezialisierte Teams und detaillierte Planung, um die umfangreichen Datenmengen effektiv zu analysieren und zu überwachen. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/69/4f6904a6142ebe0d7976702b7c15b358/0118451654.jpeg "Das Sicherheitsupdate KB5034441 verursacht teilweise den Fehler 0x80070643, Microsoft wird dafür aber keinen Patch liefern. (Bild: EricPictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0f/3a0f48a72d0ec33c3e9979f639caff9d/0118466573.jpeg "Mark Barcham, Head of Services Sales & Go-to-Market EMEA bei Arrow. (Bild: Arrow Electronics/Canva)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6fa12509d231ae90bf82565b5380eb/0118478841.jpeg "Verletzungen der Datensicherheit stellen laut „Check Point Cloud Security Report 2024“ die häufigsten Cloud-Sicherheitsvorfälle dar. (Bild: Mustafa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/0a/200a0580874f1b3875df1b9bc65e8a39/0118421857.jpeg "Netbird verbindet die Sicherheit und Geschwindigkeit von WireGuard mit einer zentralen Zugriffssteuerung. Das Tool ist außerdem beim Einsatz mit bis zu 5 Personen und 100 Geräten kostenlos. (Bild: Vladimir - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/0d/cf0dcef3b9de9eb898ff2e52367e3047/0118249659.jpeg "Microsoft stellt Hotfixes für Exchange 2016 und 2019 zur Verfügung. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3b/893b2aad437cb2ff84a9d879a9c48b6a/0118298118.jpeg "In diesem Tool-Tipp zeigen wir, wie der Einstig in die Nutzung des Metasploit Framework zum Pentesting im eigenen Netzwerk einfach klappt. (Bild: MrPanya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/91/5491e2c59cbe3754d963cbdac6f6be13/0118349502.jpeg "Aktuell gibt es umfassende Phishing-Angriffe auf LastPass-Nutzer. (Bild: Eightshot Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/e8/3de8c2c1c4d80064d3d8c86ff50e83a8/0118035467.jpeg "Der Trend zum mobilen Arbeiten, der anhaltende Umzug in die Cloud, der Anstieg an verbundenen Systemen, Geräten, Anwendungen sowie eine wachsende Anzahl von Kontakten und Identitäten sind wesentliche Treiber der Digitalisierung und der Notwendigkeit, externe Identitäten in Unternehmen zu nutzen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/72/0372ece5adc46f626b82eb5affb44e1b/0118441205.jpeg "Automatisierung in der IT-Sicherheit ist für Unternehmen ein entscheidender Faktor, um aktuelle Herausforderungen zu bewältigen und um sich proaktiv auf die Zukunft vorzubereiten. (Bild: Tierney - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/1f/941f77db5c1061ab5dafafb8d25a12b8/0118037871.jpeg "Cyberangriffe werden zunehmend als Bedrohung für die deutsche Wirtschaft wahrgenommen. In diesem Kontext bedeutet Glasfaserinternet für einen Großteil der Befragten Zuverlässigkeit und Stabilität. (Bild: 1&1 Versatel)")
:quality(80)/p7i.vogel.de/wcms/4b/c8/4bc87650edb2e4b320682b42c3000b8b/0118377216.jpeg "Der anhaltende Trend zum Hybrid Work bietet Cyberkriminellen neue Angriffsmöglichkeiten. (Bild: DuxX / Shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/a5/e3/a5e3b7833dd63fab7b7e0321969e45e0/0116955924.jpeg "FraudGPT ist ein auf Cyberkriminalität und Betrug spezialisierter, unmoderierter Chatbot auf Basis eines für kriminelle Zwecke trainierten LLM. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad5047d54802f097069c426fec52a7c5/0116955909.jpeg "Ein Large Language Model (LLM ist ein mit riesigen Textmengen trainiertes, generatives Sprachmodell mit künstlicher Intelligenz. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Neue staatlich gelenkte Bedrohung im Netz aufgedeckt So nutzt ein neuer DNS-Angreifer die Great Firewall of China
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Muddling Meerkat, ein DNS-Bedrohungsakteur vermutlich unter chinesischer Kontrolle, nutzt gezielt die Great Firewall of China, um DNS-Anfragen zu manipulieren und seine Aktivitäten zu verschleiern. Durch spezialisierte Angriffe, die schwer erkennbar sind, wie Slow-Drip-DDoS, bleibt das wahre Ziel dieser langfristigen Operationen unklar.
Staatlich gelenkte Bedrohungsakteure sind in spektakuläre Angriffe verwickelt, die sofort in den Nachrichten zu sehen sind. Infoblox Threat Intel und ein Team aus externen Sicherheitsexperten haben nun einen solchen Bedrohungsakteur aufgedeckt, den sie Muddling Meerkat (verwirrendes Erdmännchen) getauft haben. Auf den ersten Blick wirkt dieser eher unauffällig, er ist aber durchaus beachtenswert. Neben einigen anonymen Securityforschern und -anbietern war auch die unabhängige Non-Profit-Organisation “Merit Network” an der Untersuchung beteiligt. Die Zusammenarbeit zwischen allen Datenerhebern hat maßgeblich zur Aufdeckung beigetragen, da es unmöglich ist, die vollständigen Aktivitäten von Muddling Meerkat aus einer einzelnen Perspektive zu erkennen und in Beziehung zu setzen.
Ein geduldiges Erdmännchen
Muddling Meerkat ist ein neuartiger DNS-Bedrohungsakteur, der für China aktiv zu sein scheint. Diese Verbindung lässt sich daraus ableiten, dass Muddling Meerkat mit zwei Bereichen interagiert, die eng mit China verbunden sind.
Zum einen scheint Muddling Meerkat eine gewisse Kontrolle über die Great Firewall of China (GFW) zu haben. Der Begriff „Great Firewall of China“ bezeichnet diejenigen Mechanismen, mit denen die chinesische Regierung das Internet im eigenen Land zensiert. Darüber hinaus injiziert sie falsche Antworten in DNS Queries. Der Bedrohungsakteur nutzt die GFW in erster Linie, um eine falsche Fährte zu legen, so dass die eigenen Aktivitäten zu verschleiern werden. Darüber hinaus setzt Muddling Meerkat auf ein Verfahren, das Slow-Drip-DDoS-Attacken ähnelt, bei denen Dienste über einen längeren Zeitraum mit Datenverkehr überlastet werden. Diese Angriffe sind für die meisten Sicherheitssysteme schwer zu erkennen, da der zusätzliche Verkehr im Vergleich zum normalen Betrieb kaum auffällt und daher nicht als Bedrohung erkannt wird.
Die Ziele bleiben unklar
Auch wenn die Aktivitäten von Muddling Meerkat auf den ersten Blick wie ein DNS-DDoS-Angriff erscheinen, sind die Ziele des Bedrohungsakteurs derzeit noch nicht bekannt. Denn bislang handelt es sich (noch) nicht um ausgereifte DDoS-Angriffe, da das Volumen des Verkehrs deutlich zu gering ist, um autoritative Nameserver ernsthaft zu überlasten.
Der Diebstahl von Daten scheint ebenfalls nicht das Ziel von Muddling Meerkat zu sein, da der Bedrohungsakteur keinen Zugriff auf autoritative Server besitzt und stattdessen Subdomains verwendet. Diese können allerdings nur eine sehr begrenzte Menge an Informationen transportieren.
Etwas wahrscheinlicher ist die Variante, dass es sich um einen Versuch handelt, zahlreiche Netzwerke zu kartografieren. Die Komplexität der Vorgehensweise von Muddling Meerkat ist dafür jedoch zu hoch, weshalb auch dieser Erklärungsversuch nicht zweifelsfrei herangezogen werden kann.
Es ist ebenfalls möglich, dass die Aktivitäten von Muddling Meerkat lediglich der Vorbereitung einer groß angelegten DDoS-Attacke dienen. Um einen solchen Angriff durchzuführen, müssten die Verantwortlichen hinter Muddling Meerkat die gesamte Operation allerdings noch einmal stark anpassen.
In der Vergangenheit wurden bei ähnlichen Bedrohungen auch immer wieder Zweifel laut, ob es sich tatsächlich um eine gezielte und geplante Operation handelt. Vielmehr sei es durchaus möglich, dass ein Bug für die Aktivitäten verantwortlich sei. Die bisherigen Erkenntnisse deuten allerdings darauf hin, dass sämtliche Aktionen mit voller Absicht durchgeführt wurden.
Auch wenn die genauen Hintergründe und Absichten von Muddling Meerkat noch unklar sind: Fest steht, dass der Bedrohungsakteur nicht auf kurzfristigen Schaden aus zu sein scheint. Stattdessen sind die Operationen langfristig angelegt, denn Mudding Meerkat ist bereits seit 2019 aktiv.
So funktioniert Muddling Meerkat
Die Vorgehensweise von Muddling Meerkat zeugt von einer besonders hohen Expertise im Bereich des DNS.
Zunächst sendet der Bedrohungsakteur mit Hilfe chinesischer IP-Adressen DNS-Anfragen an zufällige ausgewählte IP-Adressen auf der ganzen Welt. Zusätzlich nutzt Muddling Meerkat Mail-Exchange-Record-Abfragen (MX) und andere DNS Record-Typen für zufällige ausgewählte kurze Hostnamen in Domains, die sich außerhalb der eigenen Kontrolle befinden. Mit Hilfe chinesischer IP-Adressen und der GFW werden dann gefälschte Mail-Exchange-Records erstellt.
Mudding Meerkat umgeht dabei geschickt DNS-Blocklisten, indem extrem alte Domains verwendet werden, die größtenteils vor dem Jahr 2000 registriert wurden. Viele dieser Domains werden von Organisationen für Active Directory- oder DNS-Suchdomains verwendet, auch wenn sie dem Unternehmen nicht gehören. Der aktuelle Status der missbrauchten Domains scheint dabei eine untergeordnete Rolle zu spielen. Stattdessen wählt Muddling Meerkat die Domains vor allem aufgrund ihrer Länge und ihres Alters aus. Während einige der missbrauchten Domains bereits nicht mehr oder für fragwürdige Zwecke genutzt werden, sind andere weiterhin von legitimen Instanzen in Gebrauch.
Muddling Meerkat verzichtet auf groß angelegtes Spoofing und setzt stattdessen auf DNS-Anfragen von speziell dafür eingesetzten Servern. Diese Anfragen sind allerdings in ihrem Umfang begrenzt, um eine Erkennung durch Sicherheitssysteme oder eine Unterbrechung des Dienstes zu verhindern.
Die GFW spielt dabei eine essenzielle Rolle für Muddling Meerkat: Indem sie falsche Antworten auf die DNS-Abfragen aussendet, verschwinden die Aktivitäten des Bedrohungsakteurs in der Menge und werden so verschleiert. Das erschwert die Analyse enorm. Die gezielte Nutzung der GFW stellt eine neue Dimension einer solchen Bedrohung dar und ist in diesem Ausmaß bisher noch nicht bekannt. Daher verdichten sich die Hinweise, dass Muddling Meerkat unter chinesischer Kontrolle steht und im Interesse der Volksrepublik agiert.
So können sich Unternehmen schützen
Die Forschungsergebnisse zeigen, wie gefährdet Unternehmen durch die Komplexität moderner Internetkommunikation geworden sind. Doch es gibt einige Maßnahmen, die Netzwerkadministratoren und Co. ergreifen können.
Zunächst sollten offene und ungeschützte DNS-Resolver im eigenen Netzwerk abgeschaltet werden. Diese sind nicht immer leicht zu identifizieren, Unternehmen können hierbei jedoch auf die Unterstützung spezialisierter Partner zurückgreifen.
Zudem sollten Organisationen keine Domains als Active Directory oder DNS Search Domains verwenden, die ihnen nicht gehören. Dies erhöht die Wahrscheinlichkeit, dass Informationen über ihr Netzwerk an den autoritativen Nameserver und andere Instanzen weitergegeben werden, über die sie keine Kontrolle haben.
Außerdem ist es sinnvoll, DNS Detection and Response (DNSDR) in dem eigenen Security-Stack zu implementieren. Nur ein DNS-Resolver kann diese Art von bedrohlichen Aktivitäten frühzeitig erkennen. Die überwiegende Mehrheit der Security-Systeme ist oft nicht einmal in der Lage, zwischen einem MX-Query und einem A-Record-Query zu unterscheiden.
DNS: Die unterschätzte Sicherheitstechnologie
Auch wenn Muddling Meerkat auf den ersten Blick keine große Gefahr darzustellen scheint, sollten sich Unternehmen in Acht nehmen. Da wir noch nicht viel über die wahren Intentionen des Bedrohungsakteurs wissen, ist weiterhin Vorsicht geboten.
Doch die gute Nachricht: Unternehmen können sich vorbereiten. Sie sind DNS-Angriffen oder gefährlichen Aktivitäten wie denen von Muddling Meerkat nicht schutzlos ausgeliefert. Denn, richtig eingesetzt, bietet DNS auch die Möglichkeit, gegen diese Gefahren zu schützen. DNS wird bereits von jedem Teilnehmer in der eigenen Kommunikation mit dem Internet eingesetzt. Der Schritt ist also nicht sehr weit, DNS auch für die Gefahrenabwehr zu nutzen und somit besser gegen Akteure wie Muddling Meerkat geschützt zu sein.
Über die Autorin: Dr. Renée Burton ist die Leiterin der Abteilung Threat Intel bei Infoblox. Sie ist Expertin für DNS-basierte Bedrohungen mit 22 Jahren Erfahrung und leitet die Algorithmenentwicklung und Forschung im Bereich DNS-Intelligence.
(ID:50017193)
:quality(80)/p7i.vogel.de/wcms/87/28/8728890c1d5094d564bd8a91bb11a1a0/0115706486.jpeg "Eine besonders effektive Methode zur Erzeugung von DNS-Query-Flood-DDoS-Angriffen sind DNS-Water-Torture-Angriffe. (Bild: kmiragaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/d2/94d24f387235116dcf144724fb1e9067/0115784504.jpeg "Die Sicherheit von Domains stellt einen essentiellen Eckpfeiler einer robusten IT-Sicherheitsstrategie dar. (Bild: Sashkin - stock.adobe.com)")