DNS tunneling kampányok
A Unit 42 új blogbejegyzése négy, korábban nem nyilvánosságra hozott DNS-tunneling kampányt tekint át, amelyek az elmúlt hónapokban történtek. A DNS-tunneling egy olyan technika, amit a kiberszereplők arra használnak, hogy a DNS-csomagok forgalmába nem DNS-adatokat kódoljanak. Ez lehetővé teszi, hogy az információ megkerülje a hagyományos hálózati tűzfalakat, és fedett kommunikációs csatornákat hozzon létre az adatszivárgás és beszivárgás céljából.
A DNS az internetes infrastruktúra kritikus eleme, amely az ember által olvasható domainnevek IP-címekre történő lefordításáért felelős. Sok szervezet hagyja nyitva az UDP és TCP 53-as portot a tűzfalán, amely portot a DNS használja a kommunikációhoz. Ezt a portot gyakran nem is monitorozzák, ami vonzó célponttá teszi a támadók számára, hogy fedett kommunikációs csatornaként használják. A DNS-tunneling a DNS protokollt használja ki a DNS-lekérdezéseken és -válaszokon belüli adatok kódolására. Ezért a kibertámadók általában a DNS-alagutat használják adatszivárogtatásra, C2 tevékenységekre vagy a biztonsági intézkedések megkerülésére.
Az első kampány 12 olyan tartományt tartalmazott, amelyek a Cobalt Strike C2 kommunikációhoz testreszabott DNS beacon formátumot használnak. Míg a Cobalt Strike alapértelmezett konfigurációval rendelkezik a DNS C2 kommunikációhoz egy alakítható C2 profilon keresztül, ez a kampány egy testreszabott formátumot használ. Ebben a formátumban a kapcsolódó DNS-lekérdezések hárombetűs előtagokat használnak (pl. xds), hogy jelezzék az ebben az alagútforgalomban használt lekérdezések funkcióját. Ez a kampány a pénzügyi és egészségügyi ágazatot célozta, ezért nevezték el FinHealthXDS-nek.
A második kampány több mint 100 tartományt tartalmazott, amelyek mindegyike ugyanazt a 185.161.248[.]253-as oroszországi name server IP-címet használta. A legtöbb domain ebben a kampányban a .site TLD-vel végződött, míg csak nagyon kevés domain használta a .website-ot. Ezért az aDNS IP-cím és a TLD-minták alapján ezt a kampányt RussianSite-nak nevezték el.
A harmadik kampány hat olyan domain-t tartalmazott, amelyek ugyanazokat a DNS-konfigurációkat és aDNS-kiszolgáló 35.205.61[.]67 IP-címét használták. Ennek a kampánynak a különleges mintája, hogy minden tartomány 8 NS rekorddal rendelkezett. Ezért ezt a kampányt 8NS-nek nevezték el.
A negyedik kampány több mint 50 domain-t tartalmazott. Minden domain neve három szó és a finder utolsó szavának kombinációjából áll (pl. unlimitedpartnersfinder[.]com). Az aldomainek több hasonló szegmensből állnak, amelyek mindegyike tartalmaz egy ns500 előtagot és egy számot. A gyökértartomány és az aldomainek mintái alapján ezt a kampányt NSfinder-nek nevezték el.