Търсене
Close this search box.

DNS тунелирането се използва все повече

Наблюдавани са  киберпрестъпни групи, които използват тунелиране на DNS, за да проследяват доставката на спам имейли и взаимодействието на жертвите със злонамерени домейни, както и да сканират мрежите на жертвите, предупреждава Palo Alto Networks.

Използван от около две десетилетия, DNS тунелирането е таен метод за комуникация, който позволява на нападателите да предават зловреден софтуер и данни към и от мрежите на жертвите, използвайки модела клиент-сървър.

Като част от атака чрез DNS тунелиране  заплахата регистрира домейн със сървър за имена, сочещ към сървъра на нападателя, на който се изпълнява зловреден софтуер за тунелиране.

След това нападателят заразява компютър със злонамерен софтуер и използва заявки към DNS резолвера, за да се свърже с контролирания от нападателя сървър и да създаде DNS тунел през резолвера, заобикаляйки конвенционалните мрежови защитни стени и оставайки незабелязан, тъй като организациите обикновено не наблюдават DNS трафика.

Обикновено заплахите използват DNS тунела за комуникация за командване и контрол (C&C) и за целите на виртуалните частни мрежи (VPN), но три скорошни кампании показаха, че той може да се използва и за проследяване на дейността и сканиране на мрежата.

За проследяване на дейността нападателите използват зловреден софтуер, който може да вгради информация за потребителя и подробности за неговите действия в уникалния поддомейн на DNS заявката, който функционира като полезен товар за тунелиране.

Заявките за DNS се изпращат до контролиран от нападателя сървър за имена, който ги съхранява, позволявайки на извършителя на заплахата да използва уникалните поддомейни и времевите марки като дневник на дейността на жертвата.

Като част от кампания, проследена като TrkCdn, която е насочена към над 700 жертви и е използвала 75 IP адреса, разрешаващи 658 домейна, нападателите вероятно използват DNS тунелиране, за да проследяват взаимодействието на жертвите със злонамерени имейли.

След като жертвата отвори имейла или кликне върху връзка в него, вграденото съдържание генерира DNS заявка, която се препраща към контролирания от нападателя сървър за имена, който връща DNS резултат, водещ до реклами, спам или фишинг.

„За целите на проследяването нападателите могат да правят справки в DNS регистрите от авторитетните си сървъри за имена и да сравняват полезния товар с хеш-стойностите на имейл адресите. По този начин нападателите могат да разберат кога конкретна жертва отваря някое от техните имейли или кликва върху връзка и могат да наблюдават ефективността на кампанията“, обясняват от Palo Alto Networks.

Нападателите ще регистрират домейните, използвани в тази кампания, две до 12 седмици преди да ги разпространят до набелязаните жертви и ще продължат да наблюдават поведението им в продължение на девет до 11 месеца. Обикновено те изтеглят домейните след една година.

Според Palo Alto Networks нападателите са били забелязани да регистрират нови домейни за тази кампания между октомври 2020 г. и януари 2024 г.

Втора кампания, проследена като SpamTracker, е използвала подобна техника за проследяване на доставката на спам и Palo Alto Networks е идентифицирала 44 домейна, свързани с нея.

Трета кампания, наречена SecShow, е разчитала на тунелиране на DNS, за да сканира мрежите за уязвимости и след това да извършва атаки с отразяване.

Palo Alto Networks е наблюдавала, че нападателите сканират за отворени резолвери, тестват закъсненията на резолверите, използват дефекти в сигурността на резолверите и събират информация за времето до края на живота (TTL).

„Тази кампания обикновено е насочена към отворени резолвери. В резултат на това установяваме, че жертвите идват главно от сферите на образованието, високите технологии, здравеопазването и правителството, където често се срещат отворени резолвери. Тази кампания съдържа три домейна, като използва различни поддомейни, за да постигне различно сканиране на мрежата“, казва Palo Alto Networks.

За да се намали рискът, свързан с DNS тунелирането, на организациите се препоръчва да предотвратят приемането на ненужни заявки от резолверите и да се уверят, че техните резолвери работят с най-новите версии на софтуера, за да се предотврати използването на известни уязвимости.

Източник: e-security.bg

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
14 юни 2024

YouTube преминава към инжектиране на реклами от...

Съобщава се, че YouTube вече вкарва реклами директно във видеопотоц...
14 юни 2024

Как да повишим киберсигурността на компаниите з...

Технологичният пейзаж се променя бързо, което поставя нови предизви...

Заплахата от подмяна на SIM карти продължава

Въпреки че измамите с подмяна на SIM карти или смяна на SIM карти с...
Бъдете социални
Още по темата
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
14/06/2024

Засилени киберзаплахи пред ...

Евро 2024  в Германия започва след...
12/06/2024

Съвети за отпускарския сезон

Лятото чука на вратата и се...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!