Che cos’è il tunneling DNS?

Domain name system, o DNS, è il protocollo che traduce URL human-friendly, come ad esempio paloaltonetworks.com, in indirizzi IP compatibili con la macchina, come 199.167.52.137. I criminali informatici sanno che il DNS è ampiamente utilizzato e affidabile. Inoltre, poiché il DNS non è destinato al trasferimento dei dati, molte organizzazioni non monitorano il loro traffico DNS per attività dannose. Di conseguenza, un certo numero di tipi di attacchi basati su DNS possono essere efficaci se lanciati contro le reti aziendali. Il tunneling DNS è uno di questi attacchi.

Come funziona il tunneling DNS

Il tunneling DNS sfrutta il protocollo DNS per tunnel malware e altri dati attraverso un modello client-server.

  1. L’attaccante registra un dominio, ad esempio badsite.com. Il server dei nomi del dominio punta al server dell’attaccante, dove è installato un programma di tunneling malware.
  2. L’attaccante infetta un computer, che spesso si trova dietro il firewall di una società, con malware. Poiché le richieste DNS possono sempre entrare e uscire dal firewall, il computer infetto può inviare una query al resolver DNS. Il resolver DNS è un server che inoltra le richieste di indirizzi IP ai server di dominio di primo livello e root.
  3. Il resolver DNS indirizza la query al server di comando e controllo dell’attaccante, dove è installato il programma di tunneling. Viene ora stabilita una connessione tra la vittima e l’attaccante attraverso il resolver DNS. Questo tunnel può essere utilizzato per esfiltrare i dati o per altri scopi dannosi. Poiché non esiste una connessione diretta tra l’attaccante e la vittima, è più difficile rintracciare il computer dell’attaccante.

Il tunneling DNS esiste da quasi 20 anni. Sia il malware Morto e Feederbot sono stati utilizzati per il tunneling DNS. I recenti attacchi di tunneling includono quelli del gruppo di minacce DarkHydrus, che ha preso di mira entità governative in Medio Oriente nel 2018, e OilRig, che opera dal 2016 ed è ancora attivo.

Come impedisci agli aggressori di utilizzare DNS contro di te? Leggi il nostro white paper per conoscere i passi che puoi intraprendere per fermare gli attacchi DNS.

Share

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.