Saldırganlar, DNS trafiğinin kötü niyetli manipülasyonunu bir sonraki aşamaya taşıyor; DNS tünelleme kurbanın ağ altyapısını taramanın yanı sıra kurbanların çevrimiçi davranışlarını izlemek. Amaç? Organizasyonları tehlikeye atmanın yeni yollarına ilişkin yararlı bilgiler edinmek.
Palo Alto Networks’ün 42. Biriminden araştırmacılar, kötü amaçlı yazılım kullanımından kötü amaçlı verileri saldırganların komuta ve kontrolüne geri kaçırmak için giden DNS trafiğini kullanma süreci olan DNS tünellemenin tipik kullanımının ötesine geçen birkaç yeni tehdit kampanyası belirlediler. (C2) altyapısı. Ortaya çıkardılar yeni bir blog yazısında saldırganların olduğunu DNS trafiğini kötüye kullanmak Kurbanların faaliyetlerini, alt alan adı yüklerinde kodlanmış kimlik bilgileri ile mağdurlara kötü amaçlı alanlar sunarak izlemek.
“DNS tünelleme teknikleri, normalde DNS ile ilişkili olmayan çeşitli eylemleri gerçekleştirmek için düşmanlar tarafından kullanılabilir. [it],” Unit 42’den Shu Wang, Ruian Duan ve Daiping Liu gönderide şunları yazdılar: “Tünel açmanın C2 ve VPN amaçları için kullanıldığı yönündeki geleneksel izlenime rağmen, saldırganların DNS tünellemeyi kurban aktivitelerini takip etmek için bir araç olarak kullanabileceğini de görüyoruz. ağ taraması.”
Son kampanyalardaki tarama, Birim 42’ye göre, tünelleme yüklerindeki IP adresini ve zaman damgasını sahte kaynak IP adresleriyle kodlayarak ağ altyapısının taranmasını içeriyor. Bu, saldırganların açık çözümleyicileri veya özyinelemeli verileri çözmeye istekli bir DNS sunucusunu keşfetmesine olanak tanır. Araştırmacılar, DNS saldırılarını gerçekleştirmek için çözümleyicinin güvenlik açıklarından yararlanabilmeleri için İnternet’teki herkesi DNS araması yaptığını yazdı. Bu, kötü amaçlı yönlendirmeye veya hizmet reddi saldırılar.
DNS Tüneli Nasıl Çalışır?
DNS tünelleme Kötü niyetli aktörler için değerlidir çünkü gizli bir iletişim kanalı sağlar, geleneksel ağ güvenlik duvarlarını atlamalarına olanak tanır ve böylece meşru giden trafik arasında C2 trafiğini ve veri sızıntısını gizleyerek geleneksel algılama yöntemlerinden maskeler.
DNS tüneli trafiği çeşitli şekillerde gizler. Örneğin saldırganlar, her yerde bulunan ve genellikle güvenlik duvarları ve diğer ağ güvenliği önlemleri aracılığıyla izin verilen Kullanıcı Datagram Protokolü (UDP) bağlantı noktası 53 üzerinden trafik gönderebilir. İstemci makinesi, saldırganın sunucusuyla doğrudan iletişim kurmuyor, bu da başka bir belirsizlik katmanı ekliyor.
Ayrıca saldırganlar genellikle sızma ve sızma sırasında gönderilen verileri kendi özelleştirilmiş yöntemleriyle kodlar; bu da verileri görünüşte meşru DNS trafiği içinde gizler.
İzleme için DNS Tüneli
Birim 42 araştırmacıları, DNS trafiğindeki alt alanları kullanarak kurbanların davranışlarını izlemek için DNS tünellemenin kullanıldığı iki özel saldırı gözlemledi.
Araştırmacılar, “DNS tünellemenin bu uygulamasında, bir saldırganın kötü amaçlı yazılımı, belirli bir kullanıcıya ve bu kullanıcının eylemlerine ilişkin bilgileri bir DNS sorgusunun benzersiz bir alt alanına yerleştirir” dedi. “Bu alt etki alanı tünel yüküdür ve FQDN için DNS sorgusu, saldırgan tarafından kontrol edilen bir etki alanını kullanır.”
Araştırmacılar tarafından “TRkCdn” olarak adlandırılan bir kampanya, ad sunucuları için 75 IP adresi kullanan ve saldırganların kontrolündeki 658 alanı çözümleyen 731 potansiyel kurbanı hedef aldı. Araştırmacıların gözlemlerine göre bu teknik muhtemelen kurbanların e-posta içeriğiyle etkileşimini izlemek için kullanıldı.
Araştırmacılar, uygun bir şekilde SpamTracker olarak adlandırılan başka bir kampanyada, saldırganların spam dağıtımını izlemek için TrkCdn’ye benzer şekilde DNS tünellemeyi kullandığını söyledi. 44 tünel alanıyla ilgili kampanyada, falcılık hizmetleri, sahte paket teslimat güncellemeleri, ikincil iş teklifleri ve ömür boyu ücretsiz öğeler dahil olmak üzere çeşitli tuzaklarla spam ve kimlik avı içeriği sunmak için e-postalar ve web sitesi bağlantıları kullanıldı.
Tarama için DNS Tüneli
Birim 42 tarafından gözlemlenen DNS tünellemenin üçüncü yeni kullanımı, kurbanın ağ altyapısını güvenlik açıklarına karşı periyodik olarak tarama yönteminin kullanılması biçiminde geldi; bu genellikle bir siber saldırının ilk aşamasıdır. — ve ardından yansıma saldırıları gerçekleştiriyoruz.
Araştırmacılar, açık çözümleyiciler arayan, çözümleyici gecikmelerini test eden, çözümleyicinin güvenlik açıklarından yararlanan ve yaşam süresi (TTL) bilgileri elde eden SecShow adı verilen kampanyayı gözlemledi. Farklı türde ağ taraması elde etmek için çeşitli alt alanları kullanan üç alan içeriyordu.
Araştırmacılar, SecShow kampanyasının genel olarak bulduğu açık çözümleyicileri hedef aldığını ve bunun sonucunda kurbanların çoğunlukla “açık çözümleyicilerin yaygın olarak bulunduğu eğitim, yüksek teknoloji ve hükümet alanlarından” olduğunu belirtti.
Kötü Amaçlı DNS Davranışını Azaltma
Tespit etmeye gelince DNS tünelleme, Birim 42 araştırmacıları, kuruluşların yalnızca gerekli sorguları kabul edecek şekilde çözümleyicilerin hizmet aralığını kontrol etmelerini ve N günlük güvenlik açıklarından yararlanılmasını önlemek için çözümleyici yazılımının sürümünü derhal güncellemelerini önerdi.
Güvenlik farkındalığı eğitim firması KnowBe4’ün veri odaklı savunma savunucusu Roger Grimes, saldırganların yeni saldırılarda DNS tünelinden faydalanmasını önlemenin en iyi yolunun elbette tehdit aktörlerini ortamlardan tamamen uzak tutmak olduğunu belirtiyor.
“Önemli olan, onların bu ilk dayanak erişimini kazanmalarını engellemektir” diyor. “Bir kez içeri girdiklerinde, içeri girerler. Oyun zaten bitti.”
Grimes, saldırıların yaklaşık %90’ını (DNS tünellemesi veya başka bir yöntem kullanıyor olsalar da) azaltmak için, kuruluşların sosyal mühendislikle tasarlanmış kimlik avı ve diğer saldırıların başarılı olmasını önlemesi ve savunmasız yazılım ve bellenimlere yama yapması gerektiğini tavsiye ediyor.