DNS tunnel kihasználása
A Unit42 bejegyzése egy esettanulmányt mutat be a domainnévrendszer (DNS) tunneljének új alkalmazásairól, amelyeket a valós környezetben azonosítottak. Ezek a technikák túlmutatnak a DNS-tunneleken, amelyeket csak C2 és VPN környezetben használnak.
A rosszindulatú szereplők alkalmanként titkos kommunikációs csatornaként használják a DNS-tunnelt, mivel az képesek megkerülni a hagyományos hálózati tűzfalakat. Ez lehetővé teszi a C2-forgalmat és az adatok kiszivárgását, amelyek rejtve maradhatnak egyes hagyományos észlelési módszerek elől.
A közelmúltban azonban három olyan kampányt észleltek a Palo Alto kutatói, amelyek a DNS-alagutat a hagyományos C2- és VPN-használaton kívüli célokra használják: szkennelésre és követésre. A letapogatás során a támadók DNS-alagutat használnak az áldozat hálózati infrastruktúrájának átvizsgálására és a jövőbeli támadásokhoz hasznos információk gyűjtésére. A követés során a támadók DNS-alagút technikákat használnak a rosszindulatú e-mailek kézbesítésének nyomon követésére és a tartalomszolgáltató hálózatok (CDN) használatának ellenőrzésére.
A jelentés egy részletes esettanulmányt mutat be, amelyből kiderül, hogy a támadók hogyan használják a DNS-alagutat mind a letapogatásra, mind a nyomon követésre. Célunk, hogy növeljük a tudatosságot ezekkel az új felhasználási esetekkel kapcsolatban, és további betekintést nyújtsunk, amely segíthet a biztonsági szakembereknek, hogy jobban megvédjék hálózataikat.