DNS 隧道是一种利用 DNS 协议隐藏信息的黑客技术。这种攻击使威胁行为者能够逃避防火墙和安全措施。
黑客会检索通常编码在 DNS 查询和响应中的信息。这使他们能够“窃取敏感信息”并在受感染的系统上维护“C&C”。
Palo Alto Networks 42 部门最近发现,黑客一直在积极利用 DNS 隧道服务来绕过网络防火墙。
通过 DNS 隧道绕过网络防火墙
DNS 隧道将人类可读的域名转换为机器可读的 IP 地址(如“192.168.1.1”)。
此次攻击的目标是端口 53(“UDP”和“TCP”),该端口在组织防火墙中通常保持开放且不受监控,以进行 DNS 通信。
在这种攻击方法中,威胁行为者“首先用恶意软件感染客户端系统”,然后“在子域查询中对被盗数据进行编码”(例如“stolen-data.attacker-domain[.]com”)。
然后通过“DNS 请求”将其传输到他们控制的权威“DNS”(aDNS)服务器。
该攻击通过使用“重复 DNS 服务器”作为中介来实现隐蔽性,这使得恶意流量看起来像“合法 DNS 查询”。
通过在 DNS 响应中编码指令,威胁行为者还可以将命令发送回受感染的系统。这有助于建立隐藏的“C2”通道。
这种技术尤其被“Evasive Serpens”(又名“OilRig”)和“Obscure Serpens”(又名“DarkHydrus”)等威胁组织用来攻击关键基础设施。
为了维护他们的攻击基础设施,他们使用特定的属性:
-
一致的 DNS 配置
-
有效载荷编码模式
-
域名注册特征
除此之外,网络安全分析师还发现了 4 个恶意活动,分别是“FinHealthXDS”、“RussianSite”、“8NS”和“NSfinder”。
“FinHealthXDS”活动针对金融和医疗保健行业,使用定制的 DNS 信标格式进行 Cobalt Strike C2 通信。
为了指示命令请求,它在“DNS查询”中使用独特的三个字母的前缀,如“xds”。
该攻击活动解析为“40.112.72[. ]205”之类的 IP,并对“IP”的最后一个字节使用“XOR 计算”来解释命令。
数据传输是通过“A 记录”(前缀“pro”)或“TXT 记录”(前缀“snd”)实现的。前缀“txt”(“短消息”)和“del”(“长消息”)用于数据泄露。
“RussianSite”隧道活动涉及“100 多个域名”,它们共享来自俄罗斯的名称服务器“IP 185.161.248[. ]253”。大多数域名使用“TLD.site”,少数使用“.website”。
在这里,该活动的子域名由“5 个字符的字母数字有效负载”和“1-2 个字母填充”组成。Palo Alto报告指出,“A”记录分布在全球,但隧道需要有效的“aDNS”IP。
“8NS”隧道活动涉及“6 个域”,它们具有“相同的 DNS 配置”和“DNS 服务器 IP 35.205.61[. ]67”
每个域名都有 8 条“NS 记录”,并且所有记录都指向同一个 A 记录。“NSfinder”活动针对的是“50 多个域名”,每个域名都使用三个以“finder”结尾的单词来命名。
它通过成人网站引诱受害者“窃取信用卡信息”,并与“ IcedID ”和“ RedLine ”等木马病毒窃取程序有关。
DNS 隧道活动具有不同的“识别属性”,如“基础设施设置”、“DNS 配置”、“有效负载编码方法”、“域名注册模式”和“目标选择”。
所有这些因素使其成为网络安全领域的重大威胁。
IoC
域
-
avtomaty-bcg[.]online
-
codeaddon[.]net
-
dreyzek[.]com
-
dtodcart[.]site
-
foxxbank[.]com
-
healthproreview[.]com
-
juicyplaymatesfinder[.]com
-
lifemedicalplus[.]net
-
linkwide[.]site
-
lustypartnersfinder[.]com
-
mouvobo[.]site
-
mponiem[.]site
-
ns2000wip[.]com
-
piquantchicksfinder[.]com
-
pretorya[.]site
-
sosua[.]cz
-
soupandselfcare[].com
-
unlimitedpartnersfinder[.]com
-
yummyflingsfinder[.]com
-
yummyloversfinder[.]com
-
zzczloh[.]site
IP地址
-
88.119.169[.]205
-
185.161.248[.]253
-
185.176.220[.]80
-
185.176.220[.]212
示例
-
0b99db286f3708fedf7e2bb8f24df1af13811fe46b017b6c3e7e002852479430
-
c22d25107e48962b162c935a712240c0a4486b38891855f0e53d5eb972406782
-
c3a29c2457f33e54298a1c72a967aa161a96b0ae62ffbefe9e5e1c2057d7f3f4
-
dfb3e5f557a17c8cdebdb5b371cf38c5a7ab491b2aeaad6b4e76459a05b44f28
>>>网络安全等级保护<<<
网络安全等级保护:等级保护工作、分级保护工作、密码管理工作三者之间的关系
>>>数据安全系列<<<
>>>错与罚<<<
因侵犯公民个人信息罪 深圳一人被判一年三个月 售卖他人求职简历
公安部网安局:河南开展整治网络谣言专项行动 查处造谣传谣3000余人
一公司高管为泄愤攻击智慧停车收费系统,致上千家停车场无法自动抬杆
上海4人被判刑:5元掌握明星偶像行程?贩卖明星信息4人被判刑!
假期内,网络主播直播约架?郑州警方迅速控制,刑拘十人!网络空间不是法外之地!
网络水军团灭记:“转评赞”狂刷单 上百人“网络水军”团伙落网
北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点
>>>其他<<<
原文始发于微信公众号(祺印说信安):黑客利用DNS隧道服务绕过网络防火墙
