Co To jest tunelowanie DNS?

System nazw domen lub DNS to protokół, który tłumaczy przyjazne dla człowieka adresy URL, takie jak paloaltonetworks.com, na przyjazne dla maszyn adresy IP, takie jak 199.167.52.137. Cyberprzestępcy wiedzą, że DNS jest szeroko stosowany i zaufany. Ponadto, ponieważ DNS nie jest przeznaczony do przesyłania danych, wiele organizacji nie monitoruje swojego ruchu DNS pod kątem złośliwej aktywności. W rezultacie wiele rodzajów ataków opartych na DNS może być skutecznych, jeśli zostaną uruchomione przeciwko sieciom firmowym. Tunelowanie DNS jest jednym z takich ataków.

jak działa tunelowanie DNS

tunelowanie DNS wykorzystuje protokół DNS do tunelowania złośliwego oprogramowania i innych danych za pośrednictwem modelu klient-serwer.

  1. atakujący rejestruje domenę, taką jak badsite.com. serwer nazw domeny wskazuje na serwer atakującego, na którym zainstalowany jest program złośliwego oprogramowania tunelującego.
  2. atakujący infekuje komputer, który często znajduje się za firmową zaporą ogniową, złośliwym oprogramowaniem. Ponieważ żądania DNS mogą zawsze wchodzić i wychodzić z zapory sieciowej, zainfekowany komputer może wysłać zapytanie do resolvera DNS. Resolver DNS to serwer, który przekazuje żądania adresów IP do serwerów domen głównych i najwyższego poziomu.
  3. resolver DNS kieruje zapytanie do serwera dowodzenia i kontroli atakującego, gdzie jest zainstalowany program tunelujący. Połączenie między ofiarą a atakującym jest teraz nawiązywane za pośrednictwem resolvera DNS. Tunel ten może być używany do ekstfiltracji danych lub do innych szkodliwych celów. Ponieważ nie ma bezpośredniego połączenia między atakującym a ofiarą, trudniej jest wyśledzić komputer atakującego.

tunelowanie DNS istnieje od prawie 20 lat. Zarówno złośliwe oprogramowanie Morto, jak i Feederbot zostały użyte do tunelowania DNS. Ostatnie ataki tunelowe obejmują ataki grupy zagrożeń DarkHydrus, która w 2018 r.zaatakowała podmioty rządowe na Bliskim Wschodzie, oraz OilRig, która działa od 2016 r. i nadal jest aktywna.

jak powstrzymać atakujących przed używaniem DNS przeciwko tobie? Przeczytaj naszą białą księgę, aby dowiedzieć się, jak powstrzymać ataki DNS.

Share

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.