co je tunelování DNS?

Domain name system, nebo DNS, je protokol, který překládá lidské-přátelské Url, například paloaltonetworks.com do stroje-přátelské adresy IP, například 199.167.52.137. Počítačoví zločinci vědí, že DNS je široce používán a důvěryhodný. Navíc, protože DNS není určen pro přenos dat, mnoho organizací nesleduje jejich provoz DNS pro škodlivou aktivitu. Výsledkem je, že řada typů útoků založených na DNS může být účinná, pokud je spuštěna proti firemním sítím. Jedním z takových útoků je tunelování DNS.

jak funguje tunelování DNS

tunelování DNS využívá protokol DNS k tunelování malwaru a dalších dat prostřednictvím modelu klient-server.

  1. útočník zaregistruje doménu, například badsite.com. server s názvem domény ukazuje na server útočníka, kde je nainstalován tunelovací malware program.
  2. útočník infikuje počítač, který často sedí za firemním firewallem, malwarem. Protože požadavky DNS se mohou vždy pohybovat dovnitř a ven z brány firewall, infikovaný počítač může odeslat dotaz do resolveru DNS. DNS resolver je server, který přenáší požadavky na IP adresy na kořenové a doménové servery nejvyšší úrovně.
  3. DNS resolver směruje dotaz na příkazový a řídicí server útočníka, kde je nainstalován tunelovací program. Nyní je navázáno spojení mezi obětí a útočníkem prostřednictvím DNS resolveru. Tento tunel lze použít k exfiltraci dat nebo k jiným škodlivým účelům. Protože mezi útočníkem a obětí neexistuje přímé spojení, je obtížnější vysledovat počítač útočníka.

DNS tunelování existuje již téměř 20 let. Malware Morto i Feederbot byly použity pro tunelování DNS. Posledních tunelování útoky patří ty z škodlivý skupiny DarkHydrus, které cílené vládní subjekty na Blízkém Východě v roce 2018, a Plošině, která byla v provozu od roku 2016 a je stále aktivní.

jak zabráníte útočníkům v používání DNS proti vám? Přečtěte si naši bílou knihu a dozvíte se, jaké kroky můžete podniknout k zastavení útoků DNS.

Share

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.