O atakach na DNS-y napisaliśmy naprawdę dużo. Co więcej – stworzyliśmy całą kampanię informacyjną poświęconą temu zagadnieniu. W zeszłym tygodniu Palo Alto w artykule na swoim blogu ostrzegło, iż ugrupowania zagrażające wykorzystują tunelowanie DNS do śledzenia dostarczania spamu i interakcji ofiar ze złośliwymi domenami, a także do skanowania sieci. Jest to stosunkowo nowe wykorzystanie starego, dobrego i używanego od około dwudziestu lat tunelowania DNS, czyli ukrytej metody komunikacji, umożliwiającej atakującym przesyłanie złośliwego systemu i danych do i z sieci ofiar przy użyciu modelu klient-serwer.
W ramach ataku tunelującego DNS osoba zagrażająca rejestruje domenę, która przekierowuje ofiary na serwer osoby atakującej, gdzie działa tunelujące szkodliwe oprogramowanie.
Następnie haker infekuje komputer złośliwym oprogramowaniem i wykorzystuje żądania kierowane do modułu rozpoznawania nazw DNS, aby połączyć się z serwerem kontrolowanym przez siebie i ustanowić tunel DNS przez moduł rozpoznawania nazw, omijając konwencjonalne zapory sieciowe i pozostając niewykrytym, ponieważ organizacje zwykle nie monitorują ruchu DNS.
Zazwyczaj ugrupowania zagrażające wykorzystują tunelowanie DNS do komunikacji typu „dowodzenie i kontrola” (C&C) oraz do zestawiania wirtualnej sieci prywatnej (VPN), ale trzy zbadane przez Palo kampanie pokazały, iż można użyć go również do śledzenia aktywności i skanowania sieci.
Do śledzenia hakerzy wykorzystują złośliwe oprogramowanie, które może osadzić informacje o użytkowniku i szczegóły jego działań w unikalnej subdomenie zapytania DNS, działającej jako ładunek tunelujący.
Zapytania DNS wysyłane są do kontrolowanego przez osobę atakującą serwera nazw, który je przechowuje, umożliwiając podmiotowi zagrażającemu wykorzystanie unikalnych subdomen i znaczników czasu jako dziennika aktywności ofiary.
W ramach kampanii śledzonej jako TrkCdn, skierowanej do ponad 700 ofiar i wykorzystującej 75 adresów IP w 658 domenach, napastnicy prawdopodobnie używają tunelowania DNS w celu śledzenia interakcji ofiar ze złośliwymi wiadomościami e-mail.
Gdy ofiara otworzy e-mail lub kliknie zawarty w nim link, osadzona treść generuje zapytanie DNS, które jest przekazywane do kontrolowanego przez osobę atakującą serwera nazw, a ten zwraca wynik DNS prowadzący do reklam, spamu lub phishingu.
„W celu śledzenia osoby atakujące mogą wysyłać zapytania do dzienników DNS ze swoich wiarygodnych serwerów nazw i porównywać ładunek z wartościami skrótu adresów e-mail. W ten sposób napastnicy mogą dowiedzieć się, kiedy konkretna ofiara otwiera jedną z wiadomości e-mail lub klika łącze, i mogą monitorować skuteczność kampanii” – wyjaśnia Palo Alto Networks.
Napastnicy rejestrowali domeny wykorzystywane w tej kampanii na 2 do 12 tygodni przed dystrybucją do zamierzonych ofiar i kontynuowali monitorowanie ich zachowania przez 9 do 11 miesięcy. Zwykle wycofują domeny po roku.
Według Palo Alto Networks napastnicy rejestrowali nowe domeny na potrzeby tej kampanii w okresie od października 2020 r. do stycznia 2024 r.
W drugiej kampanii, określanej jako SpamTracker, zastosowano podobną technikę śledzenia dostarczania spamu, a badacze Palo Alto zidentyfikowali 44 powiązane z nią domeny.
Trzecia kampania, nazwana SecShow, opiera się na tunelowaniu DNS w celu skanowania sieci w poszukiwaniu luk w zabezpieczeniach, co poprzedza adekwatne ataki.
Firma Palo Alto zaobserwowała, iż hakerzy skanują sieć w poszukiwaniu otwartych programów rozpoznawania nazw, testują opóźnienia mechanizmów rozpoznawania nazw, wykorzystują wady zabezpieczeń w mechanizmach rozpoznawania i zbierają informacje o czasie wygaśnięcia domen.
„Ta kampania jest ogólnie skierowana do osób korzystających z otwartych rozwiązań. W rezultacie ustaliliśmy, iż ofiary pochodzą głównie z sektora edukacji, zaawansowanych technologii i instytucji rządowych, gdzie często spotyka się open source. Kampania obejmuje trzy domeny i wykorzystuje różne subdomeny w celu uzyskania różnorodnych wyników skanowania sieci” – informuje Palo Alto Networks.
Aby zmniejszyć ryzyko związane z tunelowaniem DNS, organizacjom zaleca się zapobieganie akceptowaniu przez programy tłumaczące niepotrzebnych zapytań i upewnianie się, iż ich mechanizmy rozpoznawania nazw korzystają z najnowszych wersji oprogramowania, co może zapobiec wykorzystaniu znanych luk w zabezpieczeniach.
