HVA ER DNS Tunneling?

Domain name system, ELLER DNS, er protokollen som oversetter Menneskevennlige Nettadresser, for eksempel paloaltonetworks.com, til maskinvennlige IP-adresser, for eksempel 199.167.52.137. Cyberkriminelle vet AT DNS er mye brukt og klarert. VIDERE, FORDI DNS ikke er ment for dataoverføring, overvåker mange organisasjoner IKKE DNS-trafikken for skadelig aktivitet. SOM et resultat kan EN rekke TYPER DNS-baserte angrep være effektive hvis de lanseres mot bedriftsnettverk. DNS tunneling er et slikt angrep.

SLIK FUNGERER DNS-Tunnelering

DNS-tunnelering utnytter DNS-protokollen til å tunnelere skadelig programvare og andre data gjennom en klient-servermodell.

  1. angriperen registrerer et domene, for eksempel badsite.com. domenets navnetjener peker til angriperens server, der et tunneling malware program er installert.
  2. angriperen infiserer en datamaskin, som ofte sitter bak selskapets brannmur, med skadelig programvare. FORDI DNS-forespørsler alltid kan flyttes inn og ut av brannmuren, kan den infiserte datamaskinen sende en spørring til DNS-resolveren. DNS resolver ER en server som videresender forespørsler OM IP-adresser til rot-og toppdomeneservere.
  3. DNS-resolveren ruter spørringen til angriperens kommando-og-kontroll-server, der tunnelprogrammet er installert. En forbindelse er nå etablert mellom offeret og angriperen gjennom DNS-resolveren. Denne tunnelen kan brukes til å eksfiltrere data eller til andre ondsinnede formål. Fordi det ikke er noen direkte forbindelse mellom angriperen og offeret, er det vanskeligere å spore angriperens datamaskin.

DNS-tunnelering har eksistert i nesten 20 år. Både Morto og Feederbot malware har blitt brukt TIL DNS tunneling. Nylige tunnelangrep inkluderer de fra trusselgruppen DarkHydrus, som målrettet regjeringsenheter I Midtøsten i 2018, Og OilRig, Som har operert siden 2016 og fortsatt er aktiv.

hvordan stopper du angripere fra Å bruke DNS mot deg? Les vår hvitbok for å lære trinnene du kan ta for å stoppe DNS-angrep.

Share

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.