Търсене
Close this search box.

Наблюдавани са  киберпрестъпни групи, които използват тунелиране на DNS, за да проследяват доставката на спам имейли и взаимодействието на жертвите със злонамерени домейни, както и да сканират мрежите на жертвите, предупреждава Palo Alto Networks.

Използван от около две десетилетия, DNS тунелирането е таен метод за комуникация, който позволява на нападателите да предават зловреден софтуер и данни към и от мрежите на жертвите, използвайки модела клиент-сървър.

Като част от атака чрез DNS тунелиране  заплахата регистрира домейн със сървър за имена, сочещ към сървъра на нападателя, на който се изпълнява зловреден софтуер за тунелиране.

След това нападателят заразява компютър със злонамерен софтуер и използва заявки към DNS резолвера, за да се свърже с контролирания от нападателя сървър и да създаде DNS тунел през резолвера, заобикаляйки конвенционалните мрежови защитни стени и оставайки незабелязан, тъй като организациите обикновено не наблюдават DNS трафика.

Обикновено заплахите използват DNS тунела за комуникация за командване и контрол (C&C) и за целите на виртуалните частни мрежи (VPN), но три скорошни кампании показаха, че той може да се използва и за проследяване на дейността и сканиране на мрежата.

За проследяване на дейността нападателите използват зловреден софтуер, който може да вгради информация за потребителя и подробности за неговите действия в уникалния поддомейн на DNS заявката, който функционира като полезен товар за тунелиране.

Заявките за DNS се изпращат до контролиран от нападателя сървър за имена, който ги съхранява, позволявайки на извършителя на заплахата да използва уникалните поддомейни и времевите марки като дневник на дейността на жертвата.

Като част от кампания, проследена като TrkCdn, която е насочена към над 700 жертви и е използвала 75 IP адреса, разрешаващи 658 домейна, нападателите вероятно използват DNS тунелиране, за да проследяват взаимодействието на жертвите със злонамерени имейли.

След като жертвата отвори имейла или кликне върху връзка в него, вграденото съдържание генерира DNS заявка, която се препраща към контролирания от нападателя сървър за имена, който връща DNS резултат, водещ до реклами, спам или фишинг.

„За целите на проследяването нападателите могат да правят справки в DNS регистрите от авторитетните си сървъри за имена и да сравняват полезния товар с хеш-стойностите на имейл адресите. По този начин нападателите могат да разберат кога конкретна жертва отваря някое от техните имейли или кликва върху връзка и могат да наблюдават ефективността на кампанията“, обясняват от Palo Alto Networks.

Нападателите ще регистрират домейните, използвани в тази кампания, две до 12 седмици преди да ги разпространят до набелязаните жертви и ще продължат да наблюдават поведението им в продължение на девет до 11 месеца. Обикновено те изтеглят домейните след една година.

Според Palo Alto Networks нападателите са били забелязани да регистрират нови домейни за тази кампания между октомври 2020 г. и януари 2024 г.

Втора кампания, проследена като SpamTracker, е използвала подобна техника за проследяване на доставката на спам и Palo Alto Networks е идентифицирала 44 домейна, свързани с нея.

Трета кампания, наречена SecShow, е разчитала на тунелиране на DNS, за да сканира мрежите за уязвимости и след това да извършва атаки с отразяване.

Palo Alto Networks е наблюдавала, че нападателите сканират за отворени резолвери, тестват закъсненията на резолверите, използват дефекти в сигурността на резолверите и събират информация за времето до края на живота (TTL).

„Тази кампания обикновено е насочена към отворени резолвери. В резултат на това установяваме, че жертвите идват главно от сферите на образованието, високите технологии, здравеопазването и правителството, където често се срещат отворени резолвери. Тази кампания съдържа три домейна, като използва различни поддомейни, за да постигне различно сканиране на мрежата“, казва Palo Alto Networks.

За да се намали рискът, свързан с DNS тунелирането, на организациите се препоръчва да предотвратят приемането на ненужни заявки от резолверите и да се уверят, че техните резолвери работят с най-новите версии на софтуера, за да се предотврати използването на известни уязвимости.

Източник: e-security.bg

Подобни публикации

14 ноември 2024

Киберпрестъпници атакуват аерокосмическия секто...

Активна от септември миналата година фишинг кампания е насочена към...
14 ноември 2024

Държавни служители на САЩ са компрометирани при...

CISA и ФБР потвърдиха, че китайски хакери са компрометирали „частни...
14 ноември 2024

Критичен бъг в EoL устройствата D-Link NAS вече...

Атакуващите вече се насочват към критична уязвимост с публично дост...
14 ноември 2024

Функция на Pixel AI вече анализира телефонни ра...

Google добавя нова функция за защита от измами с помощта на изкуств...
13 ноември 2024

Най-използваните уязвимости през 2023 г. според...

Според данни от правителствени агенции от разузнавателния алианс „П...
13 ноември 2024

Защо с 10 езика за програмиране не сте по-интер...

Нови данни от LinkedIn за най-търсените професии в платформата през...
13 ноември 2024

Полезни практики при онлайн пазаруването

Средата на ноември е. С наближаването на Коледните празници се акти...
13 ноември 2024

OT: Съвети за сигурност, публикувани от CISA, S...

Siemens, Schneider Electric, CISA и Rockwell Automation публикуваха...
Бъдете социални
Още по темата
14/11/2024

Критичен бъг в EoL устройст...

Атакуващите вече се насочват към критична...
11/11/2024

Palo Alto Networks адресира...

Palo Alto Networks призовава клиентите си...
09/11/2024

D-Link няма да поправи крит...

Повече от 60 000 мрежови устройства...
Последно добавени
14/11/2024

Киберпрестъпници атакуват а...

Активна от септември миналата година фишинг...
14/11/2024

Държавни служители на САЩ с...

CISA и ФБР потвърдиха, че китайски...
14/11/2024

Критичен бъг в EoL устройст...

Атакуващите вече се насочват към критична...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!