Qu’Est-Ce Que Le Tunneling DNS ?

Le système de noms de domaine, ou DNS, est le protocole qui traduit les URL conviviales, telles que paloaltonetworks.com , dans des adresses IP conviviales pour les machines, telles que 199.167.52.137. Les cybercriminels savent que le DNS est largement utilisé et fiable. De plus, comme le DNS n’est pas destiné au transfert de données, de nombreuses organisations ne surveillent pas leur trafic DNS pour détecter toute activité malveillante. En conséquence, un certain nombre de types d’attaques basées sur le DNS peuvent être efficaces si elles sont lancées contre les réseaux de l’entreprise. Le tunneling DNS est l’une de ces attaques.

Fonctionnement de la tunnellisation DNS

La tunnellisation DNS exploite le protocole DNS pour tunneler les logiciels malveillants et d’autres données via un modèle client-serveur.

  1. L’attaquant enregistre un domaine, tel que badsite.com . Le serveur de noms de domaine pointe vers le serveur de l’attaquant, où un programme malveillant de tunneling est installé.
  2. L’attaquant infecte un ordinateur, qui se trouve souvent derrière le pare-feu d’une entreprise, avec des logiciels malveillants. Comme les requêtes DNS sont toujours autorisées à entrer et à sortir du pare-feu, l’ordinateur infecté est autorisé à envoyer une requête au résolveur DNS. Le résolveur DNS est un serveur qui relaie les demandes d’adresses IP aux serveurs de domaine racine et de premier niveau.
  3. Le résolveur DNS achemine la requête vers le serveur de commande et de contrôle de l’attaquant, où le programme de tunneling est installé. Une connexion est maintenant établie entre la victime et l’attaquant via le résolveur DNS. Ce tunnel peut être utilisé pour exfiltrer des données ou à d’autres fins malveillantes. Comme il n’y a pas de lien direct entre l’attaquant et la victime, il est plus difficile de retracer l’ordinateur de l’attaquant.

Le tunneling DNS existe depuis près de 20 ans. Les logiciels malveillants Morto et Feederbot ont été utilisés pour le tunneling DNS. Parmi les attaques récentes par tunnel, citons celles du groupe de menaces DarkHydrus, qui a ciblé des entités gouvernementales au Moyen-Orient en 2018, et OilRig, qui opère depuis 2016 et est toujours actif.

Comment empêchez-vous les attaquants d’utiliser le DNS contre vous ? Lisez notre livre blanc pour connaître les mesures que vous pouvez prendre pour arrêter les attaques DNS.

Share

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.