Server DNS (Domain Name Server) je server, ktorý rozlišuje adresy IP podľa názvu domény. Keďže je nemožné, aby si každý zapamätal dlhú IP adresu pre každú doménu, napríklad www.itechtics.com, DNS automaticky poskytuje zodpovedajúcu IP pre názov domény vykonaním vyhľadávania.
DNS tunelovanie je a typ kybernetického útoku kde útočník využíva skutočnosť, že väčšina prevádzky DNS je bez dozoru a môže ľahko prejsť aj cez tie najzložitejšie firewally. Pri takomto útoku sú ukradnuté informácie zapuzdrené v DNS dotazoch a odpovediach, a teda brány firewall ich nedetegujú.
Či už ste domáci používateľ alebo zamestnanec organizácie, môžete sa stať obeťou tunelovania DNS. Keďže ide o ťažko odhaliteľný kybernetický útok, je vo vašom najlepšom záujme vedieť, čo to je, ako funguje, ako odhaliť útok tunelovania DNS a ako mu zabrániť.
Táto stránka pokrýva
Čo je tunelovanie DNS?
DNS tunelovanie je forma kybernetického útoku, pri ktorom dochádza k odcudzeniu citlivých informácií. Za normálnych okolností sa tieto informácie nachádzajú za zabezpečenými bránami firewall a nemožno k nim pristupovať konvenčnými neautorizovanými metódami. Útočníci preto musia zaujať zúfalejší prístup a ukradnúť tieto informácie pomocou tunelovania DNS.
Pri tunelovaní DNS útočník infikuje cieľový počítač malvér ktorý potom vytvorí spojenie s útočníkovým serverom DNS, odkiaľ riadi prevádzku. Dátové pakety DNS, ktoré sú za firewallmi nemonitorované a nezistené, teda obsahujú citlivé informácie, ktoré sa pašujú k útočníkovi.
Prichádzajúce pakety DNS obsahujú príkazy a odchádzajúce pakety DNS obsahujú citlivé informácie, ktoré útočník chce. Útočník môže tiež získať doménu, ktorej doménový server sa používa na presmerovanie prevádzky na útočníkov server DNS.
Keďže bežná prevádzka DNS používa prístav číslo 53, všetky údaje zapuzdrené rovnakými údajmi budú automaticky používať aj rovnaký port.
Ako funguje tunelovanie DNS
Tunelovanie DNS funguje s modelom klient-server. Útočník potrebuje server DNS, ktorý má pod kontrolou, a klientsky počítač, ktorý môže zneužiť. Pri vykonávaní útoku tunelovania DNS je potrebných niekoľko krokov.
-
Útočník získa doménu
Prvým krokom procesu je získanie domény na škodlivé účely. Útočník kúpi doménu, ktorej menný server sa potom použije na presmerovanie prevádzky na server DNS kontrolovaný útočníkom.
-
Nastavte server DNS
Ďalšou fázou procesu je nastavenie DNS, ktoré je pod kontrolou útočníka. Pomocou tohto DNS útočník komunikuje s klientským zariadením, ktoré bolo napadnuté.
-
Útočník nasadí malvér
Ďalším významným krokom v útoku je spustenie malvéru v klientskom zariadení. Za normálnych okolností je toto zariadenie za firewallom organizácie, a preto je potrebné prijať iné techniky na umiestnenie škodlivého softvéru, napr. phishing.
Klientske PC odošle požiadavku na DNS resolver, a keďže neexistujú žiadne obmedzenia pre DNS prevádzku, dátové pakety sú preposlané škodlivému DNS serveru namiesto legitímneho.
-
Uskutoční sa útok tunelovania DNS
Po nadviazaní spojenia s útočníkovým radičom DNS pokračuje v odosielaní dátových paketov tam a späť, odosielaní príkazov a získavaní citlivých údajov.
Takto sa vykonáva útok tunelovania DNS. Teraz, ak majú bezpečnostní profesionáli v organizácii bystrý zrak, mohli by zistiť, že sa vykonáva útok. Ak im však chýba základné školenie a nemajú zavedené žiadne náležité bezpečnostné kontroly, útočník by mohol pokračovať v odosielaní paketov DNS tam a späť bez toho, aby bol odhalený.
Ako zistiť a zabrániť tunelovaniu DNS
Ako už bolo spomenuté, tunelovanie DNS je ťažko zistiteľný útok, pretože všetky procesy prebiehajú na pozadí. Pakety DNS sú malé, a preto klientske zariadenie neposkytuje žiadne významné informácie o tom, či sú zdroje alebo šírka pásma výrazne využívané.
Okrem toho väčšina brán firewall môže prechádzať takmer všetkými požiadavkami DNS, pretože používateľ môže potenciálne vyhľadať ľubovoľný názov domény. Preto bez náležitého monitorovania dokonca aj brány firewall umožňujú prechod škodlivého prenosu DNS.
Jediným spôsobom, ako monitorovať tunelovanie DNS, je teda nepretržité sledovanie prevádzky DNS. Existujú nástroje na monitorovanie DNS a analýzu užitočného zaťaženia, ktoré rozdelia otvorené dátové pakety, aby zistili, čo je vo vnútri. Tu je niekoľko známych nástrojov na monitorovanie DNS:
- Monitor serverov a aplikácií SolarWinds
- Správca aplikácií ManageEngine
- Monitor siete Paesler PRTG
- Kontrola DNS
Pomocou týchto nástrojov môžete neustále sledovať svoju prevádzku DNS a nastaviť upozornenia na akékoľvek nepravidelné aktivity. Všimnite si, že niektoré z týchto nástrojov na hĺbkovú kontrolu paketov môžu spôsobiť oneskorenia, čo má za následok nižšiu rýchlosť internetu, pretože nástroje potrebujú rozdeliť pakety a skontrolovať ich na škodlivý obsah.
Pomocou týchto nástrojov môžete sledovať nasledujúce charakteristiky paketov DNS:
- Nezvyčajné požiadavky na doménu: Údaje sú zakódované v rámci požadovaného názvu domény, čo sa môže zdať nezvyčajné, napr „Data_Content.maliciousdomain.com“ a takáto prevádzka vám môže pomôcť rozlíšiť medzi legitímnymi a škodlivý prenos DNS.
- Menej časté názvy domén: DNS tunelovanie funguje len vtedy, keď má útočník vlastný DNS. Ak uvidíte neobvyklé názvy domén v paketoch DNS, môže to znamenať útok tunelovania DNS.
- Nezvyčajne vysoká návštevnosť DNS: Náhle skoky v prenose DNS by mohli znamenať potenciálny útok tunelovania DNS, pretože útočník komunikuje s napadnutým klientom prostredníctvom dátových paketov DNS.
Toto sú veci, na ktoré si musíte dávať pozor v prípade útoku tunelovania DNS. Ak chcete proaktívne zabrániť útoku, sú to najlepšie postupy:
-
Blokujte notoricky známe domény a adresy IP
Blacklisty môžete použiť na blokovanie prístupu k škodlivým doménam a IP adresám, o ktorých už viete. Na internete je veľa informácií o známych útokoch a doménach/IP použitých pri týchto útokoch. Týmto spôsobom môžete proaktívne blokovať možné útoky tunelovania DNS.
-
Nastavte pravidlá brány firewall na blokovanie určitých dopytov DNS
Vo bráne firewall môžete nakonfigurovať pravidlá na automatické blokovanie prenosu DNS, ak sa v paketoch nájdu určité dátové reťazce. Podobne môžete blokovať prenos na základe dĺžky, typu a veľkosti prichádzajúcich alebo odchádzajúcich dotazov DNS.
-
Poskytnite školenie o phishingu
Keďže jeden z krokov úspešného útoku tunelovania DNS zahŕňa nasadenie malvéru na klientskom zariadení, musíte zabezpečiť, aby všetky zamestnanci organizácie majú dostatočné školenie na ochranu svojich aktív a údajov pred phishingom a spear phishingom techniky.
-
Používajte pokročilé nástroje na monitorovanie siete
Neustále monitorovanie siete je kritickým komponentom pre detekciu a prevenciu útokov tunelovania DNS, inak by mohli zostať neodhalené. Preto sa odporúča použiť sofistikovaný sieťový monitorovací nástroj, ktorý upozorní bezpečnostných profesionálov, keď sa zistí anomália.
Záver
DNS tunelovanie je možno najjednoduchšou formou kybernetického útoku. Stále je však jedným z najzdravších. Tento článok vám povie všetko, čo je potrebné vedieť o útokoch tunelovania DNS vrátane toho, ako to funguje a aké kroky s tým súvisia. Tiež vás informuje o spôsoboch, ako zabrániť útokom tunelovania DNS, aby ste sa nestali ich obeťou.
Na detekciu a prevenciu útokov tunelovania DNS sa odporúča, aby ste na monitorovanie prevádzky DNS používali profesionálne nástroje na monitorovanie siete a analýzu užitočného zaťaženia. Tieto nástroje sú bežne platené, a preto ich používajú iba veľké organizácie.
Bez ohľadu na to, ak ste sa stali obeťou takéhoto útoku, odporúča sa prijať požadované preventívne opatrenia, chrániť svoj majetok aj za firewallom a používať takéto sofistikované nástroje.
