DNS-Tunneling Επιθέσεις
H ευρεία και κοινά αποδεκτή χρήση του Domain Name System (DNS) μπορεί να αποτελέσει εργαλείο για στοχευμένες κυβερνοεπιθέσεις στις οποίες δημιουργείται ένα κρυφό κανάλι επικοινωνίας με σκοπό την μη ανιχνεύσιμη μεταφορά δεδομένων και εκτέλεση κακόβουλων εντολών.
Πάμε να δούμε τι είναι το DNS-Tunneling,πως λειτουργεί, ιστορικά δεδομένα, πρόσφατες έρευνες καθώς και τρόπους ανίχνευσης και αντιμετώπισης.
Τι είναι το DNS-Tunneling
Πρωτοεμφανίστηκε και χρησιμοποιήθηκε θεμιτά ως τεχνική παράκαμψης δικτυακών περιορισμών και διατήρηση της online ανωνυμίας . Γρήγορα όμως έγινε ένα δημοφιλές εργαλείο για κακόβουλους χρήστες οι οποίοι δημιουργούσαν ένα κρυφό κανάλι επικοινωνίας για εξαγωγή δεδομένων και command-and-control σκοπούς.Πρώτο παράδειγμα έχουμε στις αρχές του 2000 όπου χρησιμοποιήθηκε για την διάδοση malware. Με το πέρασμα του χρόνου οι επιτιθέμενοι βελτίωσαν και εξέλιξαν τις τεχνικές τους αναγκάζοντας έτσι τον κλάδο κυβερνοασφάλειας να αναπτύξει μηχανισμούς ανίχνευσης και προστασίας για να ανταπεξέλθει σε αυτήν την απειλή.
Παραδείγματα και περιπτώσεις:
-
Sea Turtle Campaign (2019)
-
SUNBURST Malware (2020)
-
UDPoS Malware (2015)
Πως λειτουργεί το DNS-Tunneling
Στην γενική μορφή ο επιτιθέμενος δρομολογεί τα DNS requests του θύματος σε έναν ελεγχόμενο από αυτόν server και στην συνέχεια επιστρέφει με συγκεκαλυμμένο τρόπο εντολές για εξαγωγή δεδομένων, malware, network scanning κ.α Με αυτόν τον τρόπο η ανίχνευση του καθίσταται αρκετά δύσκολη από την πλειοψηφία των οργανισμών. Όλα ξεκινούν όταν ο χρήστης κατεβάσει κάποιο malware ή ο επιτιθέμενος έχει εκμεταλλευτεί κάποιο κενό ασφαλείας για να μεταφέρει το κακόβουλο payload. Από εκεί και μετά ο attacker θέλοντας να διατηρήσει την επικοινωνία με την μολυσμένη συσκευή χωρίς να γίνει αντιληπτός από περιμετρικά firewalls ή άλλα μέτρα ασφαλείας δημιουργεί το DNS-Tunnel. Στο επόμενο στάδιο το malware ή payload της μολυσμένης συσκευής ξεκινάει DNS query για ένα subdomain που του ορίζει μια encoded επικοινωνία. Ο DNS resolver δρομολογεί αυτό το query στον server του attacker. Εν συνεχεία ο server απαντάει με κακόβουλα DNS data που εμπεριέχουν data από άλλα προγράμματα ή πρωτόκολλα καθιστώντας έτσι την κακόβουλη μεταφορά μη ανιχνεύσιμη.
Η DNS-Tunneling επίθεση απαρτίζεται από τα παρακάτω στάδια:
-
Ο επιτιθέμενος (cyber attacker) κατοχυρώνει ένα domain για παράδειγμα “malicioussite.com”
-
Το DNS record οδηγεί στον server του επιτιθέμενου όπου το DNS Tunneling malware πρόγραμμα εκτελείται.
-
Το DNS Tunnel client πρόγραμμα που έχει εγκατασταθεί στην μολυσμένη συσκευή ξεκινάει DNS requests προς το κακόβουλο domain.
-
O DNS resolver δρομολογεί αυτά τα requests στον server του attacker ο οποίος περιέχει το tunneling software.
-
Η σύνδεση επιτυγχάνεται μεταξύ θύματος και επιτιθέμενου μέσω του DNS resolver χωρίς να γίνεται αντιληπτή.
-
Το tunnel που έχει δημιουργηθεί μπορεί να χρησιμοποιηθεί πλέον από τον attacker για την εξαγωγή δεδομένων ή άλλους κακόβουλους σκοπούς.1
Σύμφωνα με πρόσφατη έρευνα που πραγματοποιήθηκε από ερευνητές της Palo Alto Networks’ Unit 42 καινούριες εφαρμογές αυτής της τεχνικής έχουν έρθει στην επιφάνεια με κύριο στόχο τον έλεγχο της αλληλεπίδρασης των θυμάτων με phishing and spam emails όπως και το περιοδικό scan της δικτυακής υποδομής για την εύρεση περαιτέρω ευπαθειών. Στην πρώτη περίπτωση η οποία αναφέρεται ως TrkCdn Campaign ενσωματώνονται συγκεκριμένα DNS queries στο περιεχόμενο ενός email το οποίο όταν ανοιχθεί ενεργοποιεί μια σύνδεση με το subdomain του επιτιθέμενου. Το subdomain μεταφέρει κωδικοποιημένες πληροφορίες όπως το MD5 hash του email και κατευθύνει σε κακόβουλα περιεχόμενα. Μια δεύτερη περίπτωση είναι η επονομαζόμενη SecShow Campaign κατά την οποία μέσω του DNS tunneling πραγματοποιείται αναγνώριση της δικτυακής υποδομής και εύρεση ευπαθειών σε αυτήν. Τα queries αυτά επαναλαμβάνονται περιοδικά έτσι ώστε να παρέχουν στον επιτιθέμενο δεδομένα σε πραγματικό χρόνο. Στην έρευνα αυτή δίνεται έμφαση στην αποτελεσματικότητα και στην δυνατότητα του DNS tunneling να παρακάμπτει παραδοσιακά μέτρα ασφαλείας χωρίς να γίνεται αντιληπτό.
Εντοπισμός και προστασία έναντι στις DNS-Tunneling επιθέσεις.
Στο στάδιο του εντοπισμού χρησιμοποιούνται διάφορες τεχνικές με τις κυριότερες να περιλαμβάνουν payload και traffic analysis. Υπηρεσίες DNS Monitoring που παρέχουν εικόνα του DNS traffic σε πραγματικό χρόνο συμβάλλουν στον εντοπισμό ανωμαλιών και ύποπτων ενεργειών δίνοντας έτσι χρόνο στους υπεύθυνους ασφαλείας να αναγνωρίσουν και να αντιμετωπίσουν έγκαιρα πιθανές απειλές. Συνίσταται επίσης οι συσκευές να χρησιμοποιούν μόνο εσωτερικούς DNS server έτσι ώστε να φιλτράρονται πιθανά κακόβουλα domains και αν αυτό συνδυαστεί με DNS firewall, DNSSEC protocol και Encrypted DNS μειώνονται αρκετά οι πιθανότητες να εξελιχθεί δυσάρεστα μια DNS-Tunneling επιθέση.
Στο γενικότερο πλαίσιο τώρα των DNS απειλών εντάσσονται και οι DNS Denial-of-Service attacks, DNS spoofing, DNS DDoS amplification οι οποίες σύμφωνα με έρευνα του IDC 2021 Global DNS Threat Report με 1114 συμμετέχοντες επηρεάστηκε το 87% των επιχειρήσεων με το 76% των επιθέσεων να δημιουργεί σημαντικό downtime.