В последнее время хакеры всё чаще прибегают к
Ссылка скрыта от гостей
для мониторинга открытий фишинговых писем и переходов по вредоносным ссылкам, а также для выявления уязвимостей в сетевых системах.
Типичный сценарий использования DNS-туннелирования включает следующие шаги:- Злоумышленники сначала регистрируют вредоносный домен и затем создают сервер управления и контроля (C2), использующий DNS-туннелирование в качестве канала связи. У злоумышленников есть множество вариантов для настройки этого канала C2, например, с использованием Cobalt Strike.
- Злоумышленники могут создать, разработать или приобрести вредоносное ПО, которое связывается с сервером как клиент, и отправить это вредоносное ПО на скомпрометированную клиентскую машину.
- Скомпрометированная машина обычно находится за межсетевым экраном и не может напрямую связываться с серверами злоумышленников. Однако вредоносное ПО может закодировать данные в поддомене и выполнить DNS-запрос к DNS-резолверу, как показано на рисунке снизу.
- Из-за уникальной природы туннелирования полностью квалифицированных доменных имен (FQDN) DNS-резолвер не может найти соответствующие записи в своем кэше. В результате резолвер выполнит рекурсивные DNS-запросы к корневым серверам домена и серверам домена верхнего уровня (TLD), контролируемым злоумышленниками.
- Злоумышленники могут получить декодированные данные из DNS-трафика и манипулировать DNS-ответами, чтобы внедрить вредоносные данные на клиент.
Фильтрация и внедрение данных с помощью туннелирования DNS
