Οι φορείς απειλών χρησιμοποιούν το σύστημα ονομάτων τομέα (DNS tunneling) για να παρακολουθούν πότε τα θύματά τους ανοίγουν μηνύματα ηλεκτρονικού phishing και κάνουν κλικ σε κακόβουλους συνδέσμους και για να σαρώνουν δίκτυα για πιθανές ευπάθειες.
Δείτε επίσης: Χάκερς πλαστογραφούν emails από αξιόπιστες πηγές
![DNS tunneling](https://www.secnews.gr/wp-content/uploads/cwv-webp-images/2024/05/DNS-tunneling-hackers-1024x683.png.webp)
Το DNS tunneling είναι η κωδικοποίηση δεδομένων ή εντολών που αποστέλλονται και ανακτώνται μέσω αιτημάτων DNS, μετατρέποντας ουσιαστικά το DNS, ένα θεμελιώδες στοιχείο επικοινωνίας δικτύου, σε ένα κρυφό κανάλι επικοινωνίας.
Οι κακόβουλοι παράγοντες κωδικοποιούν τα δεδομένα με διάφορους τρόπους, όπως Base16 ή Base64 ή προσαρμοσμένους αλγόριθμους κωδικοποίησης κειμένου, ώστε να μπορούν να επιστραφούν κατά την υποβολή ερωτημάτων σε εγγραφές DNS, όπως εγγραφές TXT, MX, CNAME και Address.
Οι hackers χρησιμοποιούν συνήθως DNS tunneling για να παρακάμψουν τα τείχη προστασίας και τα φίλτρα δικτύου, χρησιμοποιώντας την τεχνική για λειτουργίες εντολής και ελέγχου (C2) και εικονικού ιδιωτικού δικτύου (VPN). Υπάρχουν επίσης νόμιμες εφαρμογές DNS tunneling, όπως για παράκαμψη της λογοκρισίας.
Η ερευνητική ομάδα ασφαλείας Unit 42 της Palo Alto Networks ανακάλυψε πρόσφατα πρόσθετη χρήση του DNS tunneling σε κακόβουλες καμπάνιες που περιλαμβάνουν παρακολούθηση θυμάτων και σάρωση δικτύου.
Δείτε ακόμα: Το Goldoon Botnet στοχεύει D-Link Routers
Καμπάνια TrkCdn
Η πρώτη καμπάνια, η οποία παρακολουθείται ως “TrkCdn“, επικεντρώνεται στην παρακολούθηση των αλληλεπιδράσεων των θυμάτων με περιεχόμενο ηλεκτρονικού “ψαρέματος” (phishing).
![](https://www.secnews.gr/wp-content/uploads/cwv-webp-images/2023/11/what-is-spyware-featurehacker-spy-your-data-file-3-1024x640.jpg.webp)
Οι εισβολείς ενσωματώνουν περιεχόμενο σε ένα email το οποίο, όταν ανοίγει, εκτελεί ένα ερώτημα DNS σε υποτομείς που ελέγχονται από τους εισβολείς των οποίων το FQDN περιέχει κωδικοποιημένο περιεχόμενο.
Αυτή η προσέγγιση επιτρέπει στους εισβολείς να αξιολογήσουν τις στρατηγικές τους, να τις βελτιώσουν και να επιβεβαιώσουν την παράδοση κακόβουλων ωφέλιμων φορτίων στα θύματά τους.
Καμπάνια SecShow
Η δεύτερη καμπάνια που εντόπισαν οι αναλυτές, με την κωδική ονομασία “SecShow“, χρησιμοποιεί DNS tunneling για τη σάρωση υποδομών δικτύου.
Δείτε επίσης: Cuttlefish Malware: Παραβιάζει routers με σκοπό την κρυφή παρακολούθηση
Οι εισβολείς ενσωματώνουν διευθύνσεις IP και χρονικές σημάνσεις σε ερωτήματα DNS για να χαρτογραφήσουν τις διατάξεις δικτύου και να ανακαλύψουν πιθανά ελαττώματα διαμόρφωσης που μπορούν να αξιοποιηθούν για διείσδυση, κλοπή δεδομένων ή άρνηση υπηρεσίας.
Τα ερωτήματα DNS που χρησιμοποιήθηκαν σε αυτήν την καμπάνια επαναλαμβάνονταν περιοδικά για να καταστεί δυνατή η συλλογή δεδομένων σε πραγματικό χρόνο, ο εντοπισμός αλλαγών κατάστασης και η δοκιμή της απόκρισης διαφορετικών τμημάτων δικτύου σε ανεπιθύμητα αιτήματα DNS.
Πηγή: bleepingcomputer