Wat is sinkholing?

Computers hebben een IP-adres nodig om te communiceren met andere online apparaten en -netwerken. IP-adressen helpen het internet geordend te houden. Het zijn unieke identificatienummers die voor mensen moeilijk te onthouden zijn. Dit is waar DNS (Domain Name Server) een rol speelt (DNS-protocol). Het DNS-protocol dat op het internet gebruikt wordt, heeft als doel om namen van computers te vertalen naar IP-adressen en andersom. Het vertaalt dus ook IP-adressen naar leesbare adressen zoals www.digitaltrustcenter.nl.

Een DNS-sinkhole is een slimme manier om het bestaande DNS-protocol te gebruiken om de beschermingsmogelijkheden uit te breiden. Bij DNS-sinkholing wordt er ingegrepen in de routing. Het proces werkt door DNS-verzoeken te onderscheppen en deze te vergelijken met een lijst van bekende onveilige domeinen. Het meest voorkomende gebruik is om communicatie met botnets te ontdekken, te stoppen en geïnfecteerde apparaten te herkennen. Sinkholing wordt onder speciale omstandigheden uitgevoerd door vertrouwde instanties. Als je het beheer hebt over je eigen firewall of DNS-servers, kun je zelf ook DNS-sinkholing configureren om te ontdekken of er communicatie is met onveilige domeinen.
 

Hoe kun je sinkholing toepassen?

Sinkholing kan op verschillende niveaus worden toegepast. Internet Service Providers (ISP's) en domeinregistratiebedrijven staan erom bekend sinkholes te gebruiken om hun klanten te beschermen door bezoeken aan onveilige of ongewenste domeinnamen om te leiden naar gecontroleerde IP-adressen die leiden naar de sinkhole. Een DNS-sinkhole kun je configureren via DNS-servers, firewalls of andere on-premise applicaties.

Om te ontdekken of er systemen zijn die verbinding maken met een ongewenst domein, kun je zelf of via je IT-dienstverlener een DNS-sinkhole opzetten binnen jouw IT-landschap. Met de logs van de server kun je de computers identificeren die proberen verbinding te maken met bekende ongewenste domeinen. Als de logs bijvoorbeeld laten zien dat een bepaald apparaat continu verbinding probeert te maken met een zogeheten Command & Control-server (die botnets aanstuurt), maar het verzoek wordt omgeleid vanwege de sinkhole, dan is de kans groot dat dit apparaat geïnfecteerd is met een bot (malware). Hier kun je dan actie op ondernemen door bijvoorbeeld deze machine uit je netwerk te halen en op te schonen.

Een gebruiker met beheerdersrechten kan ook het hostbestand op zijn apparaat aanpassen en hetzelfde resultaat bereiken. Er zijn veel lijsten (zowel open source als commercieel) met bekende ongewenste domeinen die een sinkhole-beheerder kan gebruiken om DNS-sinkhole te vullen.

Notificatie ontvangen van het Digital Trust Center?

Het Digital Trust Center (DTC) verstuurt dagelijks meerdere waarschuwingen per e-mail - zogenoemde ‘notificaties’ - over sinkholing naar netwerkeigenaren van specifieke IP-adressen. Het vermoeden is dat de systemen achter deze IP-adressen onder aansturing staan van een C&C (Command & Control)-server die de systemen inzet voor kwalijke doeleinden zoals een botnet, phishing, ransomware- of DDoS-aanvallen. Om deze activiteiten te dwarsbomen zijn de IP-adressen omgeleid en worden eigenaren van deze IP-adressen hiervan op de hoogte gesteld via een notificatie.

Shadowserver

De IP-adressen waarover genotificeerd wordt, zijn ontdekt door de sinkhole-servers van Shadowserver. De Shadowserver Foundation is een non-profit beveiligingsorganisatie die gegevens over kwaadaardige internetactiviteiten verzamelt en analyseert, dagelijks netwerkrapporten naar abonnees verzendt en samenwerkt met wetshandhavingsorganisaties over de hele wereld bij onderzoeken naar cybercriminaliteit. Shadowserver is bijvoorbeeld zo’n vertrouwde beschermende partij.
Het DTC notificeert op deze sinkhole lijsten om de eigenaar van het betreffende IP-adres te laten weten dat zijn of haar systeem contact probeert te maken met een malafide server en dat er actie ondernomen moet worden. In de volgende alinea wordt beschreven wat je dan kan doen.

Wat kun je doen?

Als je een notificatie krijgt van het DTC, of een andere waarschuwende instantie, of zelf iets ontdekt, dan adviseren wij het volgende te doen:

• Controleer of het geïnfecteerde systeem daadwerkelijk (nog) aanwezig is;
• Verricht technisch onderzoek naar sporen van inbreuk, schade of infectie van andere systemen binnen je organisatie;
• Controleer je systemen en verwijder alle verdachte software en bestanden;
• Controleer je back-ups op malafide activiteiten en herstel het systeem met een schone back-up;
• Onderzoek of kwaadwillenden mogelijk toegang hebben tot meer systemen in jouw netwerk;
• Neem contact op met je IT-dienstverlener als je hierop zelf geen actie kunt ondernemen.