mikä on DNS-tunnelointi?

Domain name system eli DNS on protokolla, joka kääntää ihmisystävällisiä URL-osoitteita, kuten paloaltonetworks.com, koneystävällisiin IP-osoitteisiin, kuten 199.167.52.137. Kyberrikolliset tietävät, että DNS on laajalti käytetty ja luotettu. Lisäksi, koska DNS ei ole tarkoitettu tiedonsiirtoon, monet organisaatiot eivät seuraa DNS-liikennettä haitallisen toiminnan varalta. Tämän seurauksena useat DNS-pohjaiset hyökkäykset voivat olla tehokkaita, jos ne käynnistetään yrityksen verkkoja vastaan. DNS tunnelointi on yksi tällainen hyökkäys.

miten DNS-tunnelointi toimii

DNS-tunnelointi hyödyntää DNS-protokollaa haittaohjelmien ja muiden tietojen tunneloimiseen asiakas-palvelin-mallin kautta.

  1. hyökkääjä rekisteröi verkkotunnuksen, kuten badsite.com. verkkotunnuksen nimipalvelin osoittaa hyökkääjän palvelimelle, jonne on asennettu tunneloiva haittaohjelmisto-ohjelma.
  2. hyökkääjä tartuttaa haittaohjelmalla tietokoneen, joka usein istuu yrityksen palomuurin takana. Koska DNS-pyynnöt saavat aina liikkua palomuurissa ja sen ulkopuolella, tartunnan saanut tietokone saa lähettää kyselyn DNS-resolverille. DNS-resolveri on palvelin, joka välittää IP-osoitteita koskevat pyynnöt pääkäyttäjille ja ylätason verkkotunnuspalvelimille.
  3. DNS-ratkaisija ohjaa kyselyn hyökkääjän komento-ja ohjauspalvelimelle, jonne tunnelointiohjelma on asennettu. Uhrin ja hyökkääjän välille on nyt luotu yhteys DNS-resolverin kautta. Tunnelia voidaan käyttää tietojen suodattamiseen tai muihin haitallisiin tarkoituksiin. Koska hyökkääjän ja uhrin välillä ei ole suoraa yhteyttä, hyökkääjän tietokoneen jäljittäminen on vaikeampaa.

DNS-tunnelointi on kestänyt lähes 20 vuotta. DNS-tunnelointiin on käytetty sekä Morto-että Feederbot-haittaohjelmia. Viimeaikaisia tunnelihyökkäyksiä ovat muun muassa uhkaryhmä DarkHydrus, joka kohdistui Lähi-idän hallituksen yksiköihin vuonna 2018, sekä vuodesta 2016 toiminut ja edelleen aktiivinen OilRig.

miten estät hyökkääjiä käyttämästä DNS: ää sinua vastaan? Lue valkoinen kirja oppia vaiheet voit lopettaa DNS hyökkäykset.

Share

Vastaa

Sähköpostiosoitettasi ei julkaista.