Hvad er DNS Tunneling?

Domain name system, eller DNS, er den protokol, der oversætter menneskelige venlige URL ‘ er, såsom paloaltonetworks.com, til maskinvenlige IP-adresser, såsom 199.167.52.137. Cyberkriminelle ved, at DNS er meget brugt og betroet. Da DNS ikke er beregnet til dataoverførsel, overvåger mange organisationer ikke deres DNS-trafik for ondsindet aktivitet. Som et resultat kan en række typer DNS-baserede angreb være effektive, hvis de lanceres mod virksomhedsnetværk. DNS tunneling er et sådant angreb.

Sådan fungerer DNS-Tunneling

DNS-tunneling udnytter DNS-protokollen til tunnel-ondsindet program og andre data gennem en klientservermodel.

  1. angriberen registrerer et domæne, såsom badsite.com. domænets navneserver peger på angriberens server, hvor et tunnelprogram er installeret.
  2. angriberen inficerer en computer, der ofte sidder bag en virksomheds brandmur, med ondsindet program. Da DNS-anmodninger altid har lov til at flytte ind og ud af brandvæggen, har den inficerede computer lov til at sende en forespørgsel til DNS-resolveren. DNS-resolveren er en server, der videresender anmodninger om IP-adresser til rod-og topdomæneservere.
  3. DNS-resolveren dirigerer forespørgslen til angriberens kommando-og-kontrol-server, hvor tunnelprogrammet er installeret. Der er nu etableret en forbindelse mellem offeret og angriberen gennem DNS-resolveren. Denne tunnel kan bruges til at eksfiltrere data eller til andre ondsindede formål. Da der ikke er nogen direkte forbindelse mellem angriberen og offeret, er det vanskeligere at spore angriberens computer.

DNS tunneling har eksisteret i næsten 20 år. Både Morto og Feederbot er blevet brugt til DNS tunneling. Nylige tunnelangreb inkluderer dem fra trusselgruppen DarkHydrus, der målrettede regeringsenheder i Mellemøsten i 2018, og OilRig, der har fungeret siden 2016 og stadig er aktiv.

Hvordan stopper du angribere fra at bruge DNS mod dig? Læs vores hvidbog for at lære de trin, du kan tage for at stoppe DNS-angreb.

Share

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.