Наблюдавани са киберпрестъпни групи, които използват тунелиране на DNS, за да проследяват доставката на спам имейли и взаимодействието на жертвите със злонамерени домейни, както и да сканират мрежите на жертвите, предупреждава Palo Alto Networks.
Използван от около две десетилетия, DNS тунелирането е таен метод за комуникация, който позволява на нападателите да предават зловреден софтуер и данни към и от мрежите на жертвите, използвайки модела клиент-сървър.
Като част от атака чрез DNS тунелиране заплахата регистрира домейн със сървър за имена, сочещ към сървъра на нападателя, на който се изпълнява зловреден софтуер за тунелиране.
След това нападателят заразява компютър със злонамерен софтуер и използва заявки към DNS резолвера, за да се свърже с контролирания от нападателя сървър и да създаде DNS тунел през резолвера, заобикаляйки конвенционалните мрежови защитни стени и оставайки незабелязан, тъй като организациите обикновено не наблюдават DNS трафика.
Обикновено заплахите използват DNS тунела за комуникация за командване и контрол (C&C) и за целите на виртуалните частни мрежи (VPN), но три скорошни кампании показаха, че той може да се използва и за проследяване на дейността и сканиране на мрежата.
За проследяване на дейността нападателите използват зловреден софтуер, който може да вгради информация за потребителя и подробности за неговите действия в уникалния поддомейн на DNS заявката, който функционира като полезен товар за тунелиране.
Заявките за DNS се изпращат до контролиран от нападателя сървър за имена, който ги съхранява, позволявайки на извършителя на заплахата да използва уникалните поддомейни и времевите марки като дневник на дейността на жертвата.
Като част от кампания, проследена като TrkCdn, която е насочена към над 700 жертви и е използвала 75 IP адреса, разрешаващи 658 домейна, нападателите вероятно използват DNS тунелиране, за да проследяват взаимодействието на жертвите със злонамерени имейли.
След като жертвата отвори имейла или кликне върху връзка в него, вграденото съдържание генерира DNS заявка, която се препраща към контролирания от нападателя сървър за имена, който връща DNS резултат, водещ до реклами, спам или фишинг.
„За целите на проследяването нападателите могат да правят справки в DNS регистрите от авторитетните си сървъри за имена и да сравняват полезния товар с хеш-стойностите на имейл адресите. По този начин нападателите могат да разберат кога конкретна жертва отваря някое от техните имейли или кликва върху връзка и могат да наблюдават ефективността на кампанията“, обясняват от Palo Alto Networks.
Нападателите ще регистрират домейните, използвани в тази кампания, две до 12 седмици преди да ги разпространят до набелязаните жертви и ще продължат да наблюдават поведението им в продължение на девет до 11 месеца. Обикновено те изтеглят домейните след една година.
Според Palo Alto Networks нападателите са били забелязани да регистрират нови домейни за тази кампания между октомври 2020 г. и януари 2024 г.
Втора кампания, проследена като SpamTracker, е използвала подобна техника за проследяване на доставката на спам и Palo Alto Networks е идентифицирала 44 домейна, свързани с нея.
Трета кампания, наречена SecShow, е разчитала на тунелиране на DNS, за да сканира мрежите за уязвимости и след това да извършва атаки с отразяване.
Palo Alto Networks е наблюдавала, че нападателите сканират за отворени резолвери, тестват закъсненията на резолверите, използват дефекти в сигурността на резолверите и събират информация за времето до края на живота (TTL).
„Тази кампания обикновено е насочена към отворени резолвери. В резултат на това установяваме, че жертвите идват главно от сферите на образованието, високите технологии, здравеопазването и правителството, където често се срещат отворени резолвери. Тази кампания съдържа три домейна, като използва различни поддомейни, за да постигне различно сканиране на мрежата“, казва Palo Alto Networks.
За да се намали рискът, свързан с DNS тунелирането, на организациите се препоръчва да предотвратят приемането на ненужни заявки от резолверите и да се уверят, че техните резолвери работят с най-новите версии на софтуера, за да се предотврати използването на известни уязвимости.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.