Wat Is DNS-Tunneling?

Domain name system, of DNS, is het protocol dat mensvriendelijke URL ‘ s vertaalt, zoals paloaltonetworks.com, in machine-vriendelijke IP-adressen, zoals 199.167.52.137. Cybercriminelen weten dat DNS wordt veel gebruikt en vertrouwd. Bovendien, omdat DNS is niet bedoeld voor gegevensoverdracht, veel organisaties niet hun DNS-verkeer te controleren op kwaadaardige activiteiten. Als gevolg daarvan, een aantal soorten DNS-gebaseerde aanvallen kunnen effectief zijn als gelanceerd tegen bedrijfsnetwerken. DNS tunneling is een dergelijke aanval.

Hoe werkt DNS-Tunneling

DNS-tunneling gebruikt het DNS-protocol om malware en andere gegevens te tunnelen via een client-server-model.

  1. de aanvaller registreert een domein, zoals badsite.com. de naamserver van het domein wijst naar de server van de aanvaller, waar een tunneling malware programma is geïnstalleerd.
  2. de aanvaller infecteert een computer, die vaak achter de firewall van een bedrijf zit, met malware. Omdat DNS-verzoeken altijd in en uit de firewall mogen bewegen, mag de geà nfecteerde computer een query naar de DNS-resolver sturen. De DNS-resolver is een server die aanvragen voor IP-adressen doorstuurt naar root-en top-level domeinservers.
  3. de DNS-resolver stuurt de query door naar de command-and-control-server van de aanvaller, waar het tunneling-programma is geïnstalleerd. Er wordt nu een verbinding tot stand gebracht tussen het slachtoffer en de aanvaller via de DNS-resolver. Deze tunnel kan worden gebruikt om gegevens te exfiltreren of voor andere kwaadaardige doeleinden. Omdat er geen directe verbinding is tussen de aanvaller en het slachtoffer, is het moeilijker om de computer van de aanvaller te traceren.

DNS-tunneling bestaat al bijna 20 jaar. Zowel de Morto en Feederbot malware zijn gebruikt voor DNS tunneling. Recente tunnelaanvallen zijn die van de threat group DarkHydrus, die zich in 2018 richtte op overheidsinstanties in het Midden-Oosten, en OilRig, die sinds 2016 actief is en nog steeds actief is.

hoe voorkomt u dat aanvallers DNS tegen u gebruiken? Lees onze whitepaper om te leren welke stappen U kunt nemen om DNS-aanvallen te stoppen.

Share

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.