Warum sind DNS-Logs für die Detektion nützlich, und welche Bedrohungen kann man darin finden?
Kurzantwort
Fast alles berührt DNS, daher offenbaren DNS-Logs Bedrohungen, die andere Quellen verpassen: Command-and-Control-Beaconing (regelmäßige Callbacks zu einer Domain), DNS-Tunneling und -Exfiltration (hohes Volumen langer, kodierter Subdomains) sowie algorithmisch generierte (DGA) Domains. Man erkennt sie über Muster wie Abfrageregelmäßigkeit, Entropie, Record-Typen und Volumen statt über eine einzelne verdächtige Abfrage.
DNS ist eine der am meisten unterschätzten Log-Quellen in einem SOC. Da fast jede Netzwerkaktion mit einer Namensauflösung beginnt, bietet DNS nahezu universelle Sichtbarkeit — und auch Angreifer verlassen sich darauf. Dies ist eine eher seniorlastige Frage, weil der Wert in den Mustern liegt, nicht in einzelnen Abfragen.
Command-and-Control-Beaconing
Malware, die nach Hause telefoniert, löst ihre C2-Domain oft in regelmäßigen Abständen auf. In DNS-Logs zeigt sich das als periodische, maschinenartige Abfragen an dieselbe Domain — etwa alle 60 Sekunden — mit geringem Jitter. Menschen surfen unregelmäßig; Beacons sind metronomisch. Das Erkennen der Regelmäßigkeit (sowie seltener oder neu registrierter Domains) markiert C2, selbst wenn der C2-Traffic selbst verschlüsselt ist.
DNS-Tunneling und -Exfiltration
Da DNS fast immer ausgehend erlaubt ist, missbrauchen Angreifer es als verdeckten Kanal. Sie kodieren gestohlene Daten in lange, hochentropische Subdomains (a8f3...e2.exfil.evil.com) und lesen Antworten (oft TXT-Records) für Anweisungen aus. Die Verräter sind anormale Abfragelänge, hohe Entropie, ungewöhnliche Record-Typen (viele TXT oder NULL) und ein hohes Volumen einzigartiger Subdomains unter einer Parent-Domain.
DGA-Domains
Manche Malware nutzt Domain Generation Algorithms (DGA), um Hunderte pseudozufälliger Domains zu berechnen, sodass Verteidiger nicht einfach eine blockieren können. Die Signatur sind viele NXDOMAIN-Antworten (nicht existierende Domain) für hochentropische, kauderwelsch aussehende Namen, während die Malware nach der aktiven sucht.
Auf Muster detektieren, nicht auf einzelne Abfragen
Der rote Faden: Man fängt diese Bedrohungen selten bei einer einzelnen Abfrage. Man aggregiert — Regelmäßigkeit, Entropie, Länge, Mix der Record-Typen, NXDOMAIN-Rate und neu gesehene Domains.
Eine moderne Komplikation
DNS over HTTPS kann Abfragen vor Ihren Resolver-Logs verbergen, daher erzwingen SOCs zunehmend interne Resolver und blockieren externes DoH, um die Sichtbarkeit zu erhalten.
Warum das wichtig ist
Ein Analyst, der DNS nach Verhaltensmustern durchforstet, kann verdecktes C2 und Exfiltration aufspüren, die Endpoint- oder Proxy-Logs verpassen — genau die Art von mehrschichtigem Denken, das Senior-Interviewer ergründen wollen.
Wahrscheinliche Anschlussfragen
- Wie sieht DNS-Beaconing im Vergleich zu normalem Surfen aus?
- Wie schleust DNS-Tunneling Daten heraus, und woran erkennt man es?
- Wie erschwert DNS over HTTPS (DoH) die DNS-basierte Detektion?