Siber suçlular, geleneksel ağ güvenlik önlemlerini atlayan gizli iletişim kanalları oluşturmak için DNS (Alan Adı Sistemi) tünelini giderek daha fazla kullanıyor.
Bu sofistike teknik, DNS trafiğine yerleştirilen temel güvenden yararlanır ve bu da genellikle internet iletişimindeki temel rolü nedeniyle minimum muayene ile kurumsal güvenlik duvarlarından geçen temel güvenden yararlanır.
Key Takeaways
1. DNS tunneling hides malicious data in DNS queries to bypass firewalls undetected.
2. Attack tools like Cobalt Strike exploit DNS for covert C2 communication and data theft.
3. ML detection identifies tunneling patterns in seconds through query analysis.
DNS tünelleme nasıl gizli işlemleri sağlar?
Infoblox, DNS tünellemesinin meşru DNS sorguları ve yanıtları içinde kötü niyetli verilerin kodlanmasını ve tehlikeye atılan sistemler ve saldırgan kontrollü sunucular arasında gizli bir iletişim yolu oluşturmayı içerdiğini bildirir.
Bu altyapıyı oluşturmak için, tehdit aktörleri, bir alanın yetkili ad sunucusunu kontrol etmeli ve mağdur sistemlerindeki kötü amaçlı yazılımların alınan yanıtlara göre belirli eylemleri tetikleyen periyodik aramalar gerçekleştirmesine izin vermelidir.
Süreç, sorguların hedeflerine ulaşmadan önce birden fazla sunucudan geçtiği DNS çözünürlüğünün özyinelemeli niteliğinden yararlanır.
Sunucunun yanıtı, on2wi3zaojwal3forrs643IMFSG65YK gibi kodlanmış komutlar içeren bir TXT kaydı içerebilir, bu da çözüldüğünde, tehlikeye atılan sistemden komutlar yürütmesini talimat verebilir.
Güvenlik araştırmacıları, gerçek dünyadaki saldırılarda yaygın olarak kullanılan birkaç DNS tünel ailesini belirlediler.
Tehdit aktörleri tarafından sıklıkla istismar edilen popüler bir penetrasyon test aracı olan Cobalt Strike, tespit edilen tünel aktivitesinin% 26’sını oluşturur ve “Post” veya “API” gibi özelleştirilebilir öneklerle altıgen kodlu sorgular kullanır.
Araç, TXT kayıtları aracılığıyla bir kayıt ve komut ve kontrol işlemleri kullanarak işaretleme gerçekleştirir. Gözlenen tünel trafiğinin% 13’ünü temsil eden DNSCAT2, A, TXT, CNAME ve MX kayıtları dahil olmak üzere çeşitli sorgu türlerini kullanarak şifreli DNS tünelleri oluşturur.
Diğer önemli araçlar arasında, DNS üzerinden IPv4 trafiğini tünel yapan ve ulus devlet aktörleri tarafından kullanılan iyot (% 24 algılama oranı) ve gelişmiş DNS tünelleme özelliklerine sahip platformlar arası bir C2 çerçevesi olan şerit (% 12 algılama oranı) bulunur.
Geleneksel güvenlik savunmaları DNS tünelini tanımlamak için mücadele ediyor çünkü trafik meşru görünüyor ve standart DNS protokollerini kullanıyor.
Bununla birlikte, gelişmiş makine öğrenme algoritmaları, sorgu kalıplarını ve yanıt davranışlarını analiz ederek bu gizli kanalları algılayabilir.
Modern algılama sistemleri, ilk el sıkışma tamamlanmadan önce aktivasyondan birkaç dakika içinde tünel alan alanlarını tanımlayabilir.
Zorluk, bazı güvenlik araçları ve antivirüs çözümleri de tehdit istihbarat sorguları için DNS kullandığından, kötü niyetli tünellerin meşru DNS kullanımından ayırt edilmesinde yatmaktadır.
Güvenlik ekipleri, ağ işlevselliğini korurken meşru DNS trafiği ve gizli iletişim kanalları arasında ayrım yapabilen özel algılama mekanizmaları uygulamalıdır.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi