Erkläre DNS-Datenexfiltration und wie ein Blue Team sie erkennen würde.
Kurzantwort
DNS-Exfiltration kodiert gestohlene Daten in DNS-Anfragen (z. B. lange Subdomain-Labels an einen vom Angreifer kontrollierten autoritativen Server) und nutzt aus, dass DNS fast immer ausgehend erlaubt und oft unüberwacht ist. Erkenne sie über Anomalien: ungewöhnlich hohes Anfragevolumen zu einer Domain, lange Subdomains mit hoher Entropie, viele eindeutige Subdomains je Eltern-Domain, Missbrauch von TXT/NULL-Records und Anfragen an neu registrierte oder seltene Domains.
DNS-Exfiltration ist ein Favorit, weil DNS das Protokoll ist, das alle zu überwachen vergessen. Firewalls blockieren die meisten ausgehenden Ports, aber Port 53 ist fast immer offen, interne Hosts vertrauen dem Resolver, und nur wenige Teams inspizieren Anfrageinhalte. Interviewer stellen diese Frage, um zu prüfen, ob du verdeckte Kanäle verstehst und Erkennung aus Verkehrsmerkmalen statt aus Signaturen aufbauen kannst.
Wie es funktioniert
Der Angreifer kontrolliert den autoritativen DNS-Server für eine ihm gehörende Domain, sagen wir evil.com. Malware auf einem Opfer kodiert Stücke gestohlener Daten (oft base32/hex) in Subdomain-Labels und stellt Auflösungen wie Y2FyZHM.chunk2.evil.com. Die Anfrage durchläuft die DNS-Hierarchie, bis sie den Server des Angreifers erreicht, der die Daten protokolliert und in der Antwort zurückantworten kann (z. B. ein TXT- oder NULL-Record), um einen bidirektionalen Kanal zu bilden – die Grundlage von Tools wie iodine und dnscat2. Es ist langsam und geschwätzig, rutscht aber an Egress-Kontrollen vorbei und eignet sich gut für C2 und kleinen Datendiebstahl.
Wie man sie erkennt
Suche nach statistischen Anomalien, nicht nach Zeichenketten:
- Hohes Anfragevolumen zu einer einzelnen Eltern-Domain von einem Host.
- Lange Subdomains und Labels mit hoher Entropie (kodierte Daten wirken zufällig, anders als echte Hostnamen).
- Viele eindeutige Subdomains unter einer Domain (jede Anfrage trägt neue Daten).
- Starke Nutzung der Record-Typen TXT/NULL und große Antworten.
- Anfragen an neu registrierte, seltene oder reputationsarme Domains und Clients, die den Unternehmens-Resolver umgehen.
Warum das wichtig ist
Abwehrmaßnahmen umfassen das Erzwingen, dass aller DNS-Verkehr über inspizierte Resolver läuft, DNS-Firewalling / Sinkholing, Threat-Intel-Feeds für bösartige Domains und Analytik über die obigen Signale. Eine starke Antwort erklärt, warum DNS missbraucht wird, skizziert den Mechanismus des Kodierens in die Subdomain und listet verhaltensbasierte Erkennungen auf – und zeigt, dass du verdeckte Kanäle ohne saubere Signatur jagen kannst.
Wahrscheinliche Anschlussfragen
- Warum ist DNS im Vergleich zu HTTP ein so attraktiver verdeckter Kanal?
- Wie strukturiert ein Tunneling-Tool wie iodine oder dnscat2 seine Anfragen?
- Wie würde eine DNS-Firewall oder ein Sinkhole hier helfen?