DNS шпионаж: Хакери активно ви шпионират чрез интернет
Как един елементарен мрежов инструмент последователно се трансформира в мощно кибер оръжие...
Емил Василев 16:25 | 14.05.2024 12 СподелиНай-четени
ТелефониДаниел Десподов - 11:28 | 13.05.2024Най-неочаквано Германия забрани продажбата на смарт телефоните и таблетите на Lenovo и Motorola
КосмосЕмил Василев - 17:38 | 13.05.2024Открит е изходът на галактиката: В центъра на Млечния път е открит „ комин “ от парещ газ
IT НовиниСветослав Димитров - 13:36 | 12.05.2024Повече от половината чиновници в американската полупроводникова промишленост евентуално ще сменят работата си
Емил Василевhttps://www.kaldata.com/Напоследък хакерите все по-често употребяват DNS тунелирането, с цел да наблюдават по кое време жертвите отварят фишинг имейли и кликат върху злонамерени линкове, както и да сканират мрежите за уязвимости.
DNS тунелирането включва шифроване на данни или команди, които се изпращат и получават посредством DNS поръчки. По този метод DNS – сериозен съставен елемент на мрежовата връзка се трансформира в скришен канал за данни.
Атакуващите кодират данни по разнообразни способи, като Base16 или Base64, или употребяват лични логаритми за шифроване на текст, тъй че тези данни да могат да бъдат извлечени при питане за DNS записи, като TXT, MX, CNAME и Address. DNS тунелирането постоянно се употребява от хакерите за заобикаляне на защитни стени и филтри в C2 инфраструктурата и VPN интервенциите.
Изследователският екип на Unit 42 в Palo Alto Networks неотдавна откри спомагателни случаи на потребление на DNS тунелиране в злонамерени акции, ориентирани към следене на жертви и сканиране на мрежи.
Първата акция, наречена „ TrkCdn “, се концентрира върху следене на взаимоотношението на жертвите посредством фишинг имейли. Хакерите вграждат наличие в имейла, което при отваряне прави DNS поръчка към поддомейни, следени от нападателите. Тези поддомейни връщат DNS отговор, водещ до сървър, следен от нападателите, който доставя злонамерено наличие, като да вземем за пример реклами, спам или фишинг материали.
В отчета на Unit 42 се разказва и акция, която употребява DNS тунелиране за следене на доставката на спам известия, наречена „ SpamTracker “. Тази акция е сходна на „ TrkCdn “, само че е ориентирана към наблюдаване на доставката на спам.
Друга акция, открита от анализаторите, наречена „ SecShow “ употребява DNS тунелиране за сканиране на мрежови инфраструктури. Хакерите вграждат IP адреси и времеви маркери в DNS поръчките, с цел да картографират по-късно мрежовите конфигурации и да открият евентуални уязвимости, които могат да бъдат употребявани за навлизане, кражба на данни или DoS офанзиви.
Хакерите залагат на DNS тунелирането пред по-традиционните способи, с цел да заобиколят функционалностите за сигурност, да избегнат разкриване и да запазят оперативната си еластичност.
Изследователите от отдел 42 предлагат на организациите да внедрят принадлежности за наблюдаване и разбор на DNS, с цел да наблюдават и проучват логовете за необикновени модели на трафик и аномалии, като да вземем за пример нетипични или огромни по размер поръчки. Експертите също по този начин поучават да се ограничи потреблението на DNS резолвери в мрежата, с цел да се обработват единствено нужните поръчки, с цел да се понижи вероятността от корист с DNS тунели.
