Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Хакеры всё чаще используют метод DNS-туннелирования для отслеживания эффективности фишинга

15/05/24

hack159

DNS-туннелирование заключается в кодировании данных или команд, которые отправляются и принимаются через DNS-запросы. Это превращает DNS, важнейший компонент сетевой связи, в скрытый канал передачи данных.

Злоумышленники кодируют данные различными способами, такими как Base16 или Base64, или используют собственные алгоритмы текстового кодирования, чтобы эти данные можно было получить при запросе DNS-записей, таких как TXT, MX, CNAME и Address, пишет Securitylab.

DNS-туннелирование часто используется хакерами для обхода межсетевых экранов и фильтров в операциях с C2-инфраструктурой и VPN-сетями.

4970f5pch3hecqeytzufbyb2vao5hwmn

Исследовательская группа Unit 42 из Palo Alto Networks недавно обнаружила дополнительные случаи использования DNS-туннелирования во вредоносных кампаниях, направленных на отслеживание жертв и сканирование сетей.

Первая кампания, получившая название «TrkCdn», сосредоточена на отслеживании взаимодействия жертв с фишинговыми письмами. Хакеры встраивают контент в электронное письмо, которое при открытии выполняет DNS-запрос к субдоменам, контролируемым злоумышленниками.

Эти субдомены возвращают DNS-ответ, ведущий на сервер, контролируемый атакующими, который и доставляет вредоносный контент, такой как реклама, спам или фишинговые материалы.

В отчёте Unit 42 также описана кампания, использующая DNS-туннелирование для отслеживания доставки спам-сообщений, получившая название «SpamTracker». Эта кампания схожа с «TrkCdn», но ориентирована на мониторинг доставки спама.

Ещё одна обнаруженная аналитиками кампания, названная «SecShow», использует DNS-туннелирование для сканирования сетевых инфраструктур. Хакеры встраивают IP-адреса и метки времени в DNS-запросы для последующего маппинга сетевых конфигураций и обнаружения потенциальных уязвимостей, которые могут быть использованы для вторжения, кражи данных или отказа в обслуживании.

Хакеры выбирают DNS-туннелирование вместо более традиционных методов, чтобы обойти средства безопасности, избежать обнаружения и сохранить операционную гибкость.

Исследователи Unit 42 рекомендуют организациям внедрять инструменты мониторинга и анализа DNS для отслеживания и анализа логов на предмет необычных шаблонов трафика и аномалий, таких как нетипичные или объёмные запросы. Также эксперты советуют ограничить использование DNS-резолверов в сети для обработки только необходимых запросов, чтобы уменьшить вероятность злоупотребления DNS-туннелированием.

Темы:УгрозыDNSфишингPalo Alto Networks
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...