Veel organisaties hebben inmiddels een goed beeld van klassieke cyberdreigingen zoals phishingcampagnes, DDoS‑aanvallen en ransomware. Maar moderne aanvallen ontstaan steeds vaker buiten het zicht van de traditionele beveiliging. In plaats van te jagen op kwetsbaarheden in applicaties, richten ze zich steeds vaker op het onderliggende Domain Name System (DNS). Bovendien ontwikkelen ze nieuwe en geraffineerde methodes die in de praktijk lastig te detecteren zijn, via digitale ‘verkeerscentrales’ (Traffic Distribution Systems). Daarom is het belangrijker dan ooit dat securityteams hun blik verbreden en inzetten op het preventief stoppen van dreigingen vóórdat ze de netwerkgrenzen bereiken.
DNS is een fundamenteel onderdeel van het internet. Het vertaalt numerieke IP‑adressen naar beter te onthouden domeinnamen. In die zin voelt DNS voor veel internetgebruikers als een digitale nutsvoorziening: je moet er vooral geen omkijken naar hebben. Maar juist die gedachtegang kan DNS tot security-risico maken. Zolang er ‘water uit de kraan’ komt is er geen reden om stil te staan bij de complexe infrastructuur die dit allemaal op de achtergrond regelt.
In de praktijk betekent dit dat DNS veelal een structurele blinde vlek is in securitystrategieën. Organisaties realiseren zich niet hoe creatief en doelgericht criminelen dit basisprotocol kunnen misbruiken. Hun campagnes zien er aan de oppervlakte wellicht heel verschillend uit, maar hebben één gemene deler: het manipuleren van DNS‑verkeer. Dat misbruik vormt de stille motor onder uiteenlopende vormen van digitale criminaliteit, van gerichte fraude tot het ongemerkt uitrollen en aansturen van malware binnen netwerken. Daarom is het zo belangrijk om inzicht te verkrijgen op DNS-verkeer: hoe beter je dit kunt monitoren en controleren, hoe beter je in staat bent om jezelf te verdedigen tegen DNS-gebaseerde aanvallen.
Weet je of je router veilig is?
Een interessant voorbeeld van de creativiteit van criminelen zie je terug in recent onderzoek van Infoblox Threat Intel. Daaruit blijkt dat fysieke routers voor DNS-manipulatie worden misbruikt. Aanvallers breken in op (veelal oudere) apparaten, rommelen ongemerkt met een paar instellingen en schuiven zich zo tussen jou en de rest van het internet in. Jij voert keurig het juiste webadres in, maar ergens verderop in de keten beslist iemand anders waar je uiteindelijk belandt. En omdat meerdere apparaten met dezelfde router verbinden, gaat het bijna nooit om één verdwaalde laptop, maar om complete netwerken.
De kieskeurige TDS-fuik
Zodra je in de wereld van de aanvaller terechtkomt, word je doorgeleid via een Traffic Distribution System (TDS). Dat is een soort verkeerscentrale voor webverkeer. Binnenkomende DNS-verzoeken worden geanalyseerd en geprofileerd. Denk aan een combinatie van IP‑adres, gebruikte browser, geolocatie en het oorspronkelijke domein dat je probeerde te bezoeken.
Alleen als je aan bepaalde criteria voldoet, word je verder de fuik in gestuurd. Andere verzoeken worden genegeerd of weer keurig doorgestuurd om geen onnodige aandacht te trekken. Verkeer dat wel door de controle komt, wordt doorgestuurd naar affiliate‑netwerken, malafide advertentieplatformen, phishing-pagina’s of sites met malware-downloads.
Een belangrijk aspect in deze fase – en iets wat deze vorm van DNS-manipulatie zo succesvol maakt – is dus dat je niet altijd naar verkeerde adressen wordt omgeleid. Grote en veelgebruikte websites werken meestal gewoon zoals het hoort. Als je je mail checkt, een YouTube-video kijkt of een bekende nieuwssite opent, zul je zelden merken dat er iets mis is.
Je krijgt vooral andere antwoorden als je minder prominente domeinen wilt bezoeken. Dan word je niet naar de echte bestemming gestuurd, maar naar een adres binnen de infrastructuur van de aanvaller. Soms zie je alleen een omweg via een reclamesite. Soms kom je terecht op een pagina die je verleidt tot een download of een aanbieding die te mooi lijkt om waar te zijn.
Dat voelt meestal niet meteen als een serieus beveiligingsincident, maar eerder als een vreemde pop-up of een site die slecht is ontworpen. Misschien denk je gewoon dat “het internet weer eens raar doet”. En omdat je dagelijkse online activiteiten gewoon normaal blijven werken, is er weinig reden om de DNS‑instellingen van je router onder de loep te nemen.
Zo ontstaat er een geruisloze geldstroom op basis van omgeleid verkeer. Iedere klik die via deze route bij een adverteerder of frauduleuze site uitkomt, kan een commissie opleveren. Tegelijkertijd groeit de kans dat gebruikers vroeg of laat op een pagina belanden waar ze ook daadwerkelijk concrete schade oplopen, bijvoorbeeld via een valse bankomgeving of malware.
Verwarring in plaats van paniek
Wat deze campagnes zo hardnekkig maakt, is de manier waarop ze aansluiten op menselijk gedrag. Als een medewerker op een vreemde pagina belandt, is de eerste reflex meestal dat de link niet deugt, de browser in de war is of dat er “weer een irritante advertentie” tussendoor glipt. In veel organisaties blijft het daarbij. Niemand maakt een ticket aan voor de IT‑afdeling omdat er één keer een rare landingspagina is geweest.
Dit werkt in het voordeel van de aanvaller. Er is geen duidelijk ‘incidentmoment’ dat tot een gecoördineerde reactie leidt. Er is geen sprake van versleutelde bestanden, grootschalige uitval, en daardoor niet voor forensisch onderzoek. Hooguit een paar mopperende collega’s aan de lunchtafel. En ondertussen blijft de infrastructuur gewoon draaien en blijft de router alle DNS‑verzoeken afhandelen via criminelen.
Verouderde hardware als ideale voedingsbodem
Veel apparaten worden vele jaren gebruikt – en vaak langer dan de ondersteuning die de fabrikant voor ogen had. In huurwoningen blijven modems en routers uit het installatiepakket bijvoorbeeld vaak genoeg staan zolang de verbinding niet zichtbaar hapert. Bij kleine bedrijven schuift de vervanging van netwerkapparatuur gemakkelijk een paar keer door, omdat andere investeringen urgenter zijn. En in prijsgevoelige markten worden tweedehands routers of sterk verouderde modellen alsnog massaal gebruikt.
Daarnaast zijn er sowieso weinig prikkels om routers tijdig te patchen. De beheerinterfaces zijn vaak onoverzichtelijk en er zijn geen directe pijnpunten als je niets update (tot het een keer misgaat, natuurlijk). Door dit gebrek aan prikkels blijft er een constante voorraad van slecht onderhouden routers beschikbaar voor criminelen.
DNS als primaire en preventieve verdedigingslinie
Effectieve beveiliging begint niet pas op het moment dat een aanval het netwerk binnendringt; het voorkomt juist dat aanvallen überhaupt voet aan de grond krijgen. Dat vraagt om een preemptive security‑aanpak, waarbij securityteams hun blik uitbreiden naar de DNS-laag. In plaats van DNS louter als nutsvoorziening te zien, moeten securityteams dit fundamentele protocol behandelen als een primaire beveiligingslaag. Via DNS verloopt immers vrijwel al het verkeer van en naar het internet, waardoor het een ideaal controlepunt is om kwaadaardige infrastructuur vroegtijdig te detecteren en blokkeren.
Daarvoor is meer nodig dan alleen digitale controles op applicatieniveau. Op fysiek niveau betekent dat gedegen lifecyclebeheer van routers en andere randapparatuur, met beleid voor vervanging, patching en configuratie‑reviews. Op digitaal niveau moeten securityteams exacte inzichten hebben over welke resolvers daadwerkelijk in gebruik zijn en waar DNS‑verkeer naartoe gaat. Alleen dan kunnen ze bekende malafide domeinen en IP‑ranges structureel blokkeren, afwijkende patronen in query’s herkennen en ongeautoriseerde wijzigingen in DNS‑configuraties snel opsporen vóórdat ze het netwerk beïnvloeden.
Moderne aanvallen ontstaan steeds vaker buiten het traditionele netwerk; op nepwebsites, in malafide appstores, via misbruikte socialmediaplatforms en misleidende zoekadvertenties en gecompromitteerde routers. Preemptive security richt zich daarom nadrukkelijk op die buitenwereld: zichtbaar maken waar de organisatie wordt blootgesteld aan dreigingen, deze blootstelling minimaliseren en malafide infrastructuur uitschakelen nog voordat deze operationeel wordt en schade kan aanrichten.
Dit is een ingezonden bijdrage van Infoblox. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.