Was ist DNS-Tunneling?

Domain Name System oder DNS ist das Protokoll, das menschenfreundliche URLs wie paloaltonetworks.com , in maschinenfreundliche IP-Adressen wie 199.167.52.137. Cyberkriminelle wissen, dass DNS weit verbreitet und vertrauenswürdig ist. Da DNS nicht für die Datenübertragung vorgesehen ist, überwachen viele Organisationen ihren DNS-Datenverkehr nicht auf schädliche Aktivitäten. Infolgedessen können eine Reihe von Arten von DNS-basierten Angriffen wirksam sein, wenn sie gegen Unternehmensnetzwerke gestartet werden. DNS-Tunneling ist ein solcher Angriff.

Funktionsweise von DNS-Tunneling

DNS-Tunneling nutzt das DNS-Protokoll aus, um Malware und andere Daten über ein Client-Server-Modell zu tunneln.

  1. Der Angreifer registriert eine Domäne wie badsite.com . Der Nameserver der Domain verweist auf den Server des Angreifers, auf dem ein Tunneling-Malware-Programm installiert ist.
  2. Der Angreifer infiziert einen Computer, der sich oft hinter der Firewall eines Unternehmens befindet, mit Malware. Da DNS-Anforderungen immer in die Firewall ein- und ausgehen dürfen, darf der infizierte Computer eine Abfrage an den DNS-Resolver senden. Der DNS-Resolver ist ein Server, der Anfragen nach IP-Adressen an Root- und Top-Level-Domänenserver weiterleitet.
  3. Der DNS-Resolver leitet die Abfrage an den Befehls- und Steuerungsserver des Angreifers weiter, auf dem das Tunnelprogramm installiert ist. Über den DNS-Resolver wird nun eine Verbindung zwischen dem Opfer und dem Angreifer hergestellt. Dieser Tunnel kann verwendet werden, um Daten zu exfiltrieren oder für andere böswillige Zwecke. Da keine direkte Verbindung zwischen Angreifer und Opfer besteht, ist es schwieriger, den Computer des Angreifers zu verfolgen.

DNS-Tunneling gibt es seit fast 20 Jahren. Sowohl die Morto- als auch die Feederbot-Malware wurden für das DNS-Tunneling verwendet. Zu den jüngsten Tunnelangriffen gehören die der Bedrohungsgruppe DarkHydrus, die 2018 auf Regierungsstellen im Nahen Osten abzielte, und OilRig, die seit 2016 in Betrieb ist und immer noch aktiv ist.

Wie verhindern Sie, dass Angreifer DNS gegen Sie verwenden? Lesen Sie unser Whitepaper, um zu erfahren, welche Schritte Sie unternehmen können, um DNS-Angriffe zu stoppen.

Share

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.