vad är DNS Tunneling?

Domain name system, eller DNS, är protokollet som översätter mänskliga vänliga webbadresser, till exempel paloaltonetworks.com, till maskinvänliga IP-adresser, till exempel 199.167.52.137. Cyberbrottslingar vet att DNS används i stor utsträckning och är betrodd. Eftersom DNS inte är avsett för dataöverföring övervakar många organisationer inte sin DNS-trafik för skadlig aktivitet. Som ett resultat kan ett antal typer av DNS-baserade attacker vara effektiva om de startas mot företagsnätverk. DNS tunneling är en sådan attack.

hur DNS Tunneling fungerar

DNS tunneling utnyttjar DNS-protokollet till tunnel malware och andra data via en klient-server modell.

  1. angriparen registrerar en domän, till exempel badsite.com. domänens namnserver pekar på angriparens server, där ett tunnelprogram för skadlig programvara är installerat.
  2. angriparen infekterar en dator, som ofta sitter bakom ett företags brandvägg, med skadlig kod. Eftersom DNS-förfrågningar alltid får flytta in och ut ur brandväggen får den infekterade datorn skicka en fråga till DNS-upplösaren. DNS resolver är en server som vidarebefordrar förfrågningar om IP-adresser till rot-och toppdomänservrar.
  3. DNS-upplösaren dirigerar frågan till angriparens kommando-och kontrollserver, där tunnelprogrammet är installerat. En anslutning upprättas nu mellan offret och angriparen via DNS-upplösaren. Denna tunnel kan användas för att exfiltrera data eller för andra skadliga ändamål. Eftersom det inte finns någon direkt koppling mellan angriparen och offret är det svårare att spåra angriparens dator.

DNS tunneling har funnits i nästan 20 år. Både Morto och Feederbot malware har använts för DNS tunneling. De senaste tunnelattackerna inkluderar de från hotgruppen DarkHydrus, som riktade sig till statliga enheter i Mellanöstern 2018, och OilRig, som har funnits sedan 2016 och fortfarande är aktiv.

Hur stoppar du angripare från att använda DNS mot dig? Läs vår vitbok för att lära dig de steg du kan vidta för att stoppa DNS-attacker.

Share

Lämna ett svar

Din e-postadress kommer inte publiceras.