ΑρχικήsecurityΟι hackers χρησιμοποιούν DNS tunneling για να βρίσκουν θύματα

Οι hackers χρησιμοποιούν DNS tunneling για να βρίσκουν θύματα

Οι φορείς απειλών χρησιμοποιούν το σύστημα ονομάτων τομέα (DNS tunneling) για να παρακολουθούν πότε τα θύματά τους ανοίγουν μηνύματα ηλεκτρονικού phishing και κάνουν κλικ σε κακόβουλους συνδέσμους και για να σαρώνουν δίκτυα για πιθανές ευπάθειες.

Δείτε επίσης: Χάκερς πλαστογραφούν emails από αξιόπιστες πηγές

DNS tunneling

Το DNS tunneling είναι η κωδικοποίηση δεδομένων ή εντολών που αποστέλλονται και ανακτώνται μέσω αιτημάτων DNS, μετατρέποντας ουσιαστικά το DNS, ένα θεμελιώδες στοιχείο επικοινωνίας δικτύου, σε ένα κρυφό κανάλι επικοινωνίας.

Οι κακόβουλοι παράγοντες κωδικοποιούν τα δεδομένα με διάφορους τρόπους, όπως Base16 ή Base64 ή προσαρμοσμένους αλγόριθμους κωδικοποίησης κειμένου, ώστε να μπορούν να επιστραφούν κατά την υποβολή ερωτημάτων σε εγγραφές DNS, όπως εγγραφές TXT, MX, CNAME και Address.

Οι hackers χρησιμοποιούν συνήθως DNS tunneling για να παρακάμψουν τα τείχη προστασίας και τα φίλτρα δικτύου, χρησιμοποιώντας την τεχνική για λειτουργίες εντολής και ελέγχου (C2) και εικονικού ιδιωτικού δικτύου (VPN). Υπάρχουν επίσης νόμιμες εφαρμογές DNS tunneling, όπως για παράκαμψη της λογοκρισίας.

Η ερευνητική ομάδα ασφαλείας Unit 42 της Palo Alto Networks ανακάλυψε πρόσφατα πρόσθετη χρήση του DNS tunneling σε κακόβουλες καμπάνιες που περιλαμβάνουν παρακολούθηση θυμάτων και σάρωση δικτύου.

Δείτε ακόμα: Το Goldoon Botnet στοχεύει D-Link Routers

Καμπάνια TrkCdn

Η πρώτη καμπάνια, η οποία παρακολουθείται ως “TrkCdn“, επικεντρώνεται στην παρακολούθηση των αλληλεπιδράσεων των θυμάτων με περιεχόμενο ηλεκτρονικού “ψαρέματος” (phishing).

Οι εισβολείς ενσωματώνουν περιεχόμενο σε ένα email το οποίο, όταν ανοίγει, εκτελεί ένα ερώτημα DNS σε υποτομείς που ελέγχονται από τους εισβολείς των οποίων το FQDN περιέχει κωδικοποιημένο περιεχόμενο.

Αυτή η προσέγγιση επιτρέπει στους εισβολείς να αξιολογήσουν τις στρατηγικές τους, να τις βελτιώσουν και να επιβεβαιώσουν την παράδοση κακόβουλων ωφέλιμων φορτίων στα θύματά τους.

Καμπάνια SecShow

Η δεύτερη καμπάνια που εντόπισαν οι αναλυτές, με την κωδική ονομασία “SecShow“, χρησιμοποιεί DNS tunneling για τη σάρωση υποδομών δικτύου.

Δείτε επίσης: Cuttlefish Malware: Παραβιάζει routers με σκοπό την κρυφή παρακολούθηση

Οι εισβολείς ενσωματώνουν διευθύνσεις IP και χρονικές σημάνσεις σε ερωτήματα DNS για να χαρτογραφήσουν τις διατάξεις δικτύου και να ανακαλύψουν πιθανά ελαττώματα διαμόρφωσης που μπορούν να αξιοποιηθούν για διείσδυση, κλοπή δεδομένων ή άρνηση υπηρεσίας.

Τα ερωτήματα DNS που χρησιμοποιήθηκαν σε αυτήν την καμπάνια επαναλαμβάνονταν περιοδικά για να καταστεί δυνατή η συλλογή δεδομένων σε πραγματικό χρόνο, ο εντοπισμός αλλαγών κατάστασης και η δοκιμή της απόκρισης διαφορετικών τμημάτων δικτύου σε ανεπιθύμητα αιτήματα DNS.

Πηγή: bleepingcomputer

Absenta Mia
Absenta Miahttps://secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS