DNS (Domain Name System) är en helt oumbärlig del av vår IT-infrastruktur och kan kallas internets telefonkatalog. Det är DNS-protokollet som gör att vi kan översätta domännamn till IP-adresser när vi ”surfar” på internet eller när vi använder en app på vår mobiltelefon. Men det är också den potentiella bakdörren till din IT-infrastruktur genom DNS-Tunneling, vi förklarar hur nedan.
DNS använder port 53. Därför är denna port ofta öppen i hela infrastrukturen. Både på klienter, switchar, routrar, brandväggar etc. Förfrågningar transporteras i första hand via ”best effort”-protokollet UDP (User Datagram Protocol), snarare än TCP (Transmission Control Protocol), på grund av den generellt lägre resursförbrukningen. Det betyder att klienten helt enkelt skickar en ny förfrågan igen om den inte fått något svar från början.
Funktionaliteten hos DNS-protokollet gör att textsträngar kan skickas fritt till och från internet. Detta utnyttjas i hög utsträckning av cyberbrottslingar genom DNS-Tunneling.
Tekniker och tillämpning av DNS-Tunneling
- C2 – Command and Control, Heartbeat och kommunikation:
Malware-infekterade klienter måste kommunicera tillbaka till en C2-server för att låta dem veta att de är aktiva och redo. Kommunikation kan enkelt kamoufleras som DNS-trafik, så kommunikation över HTTP (Hypertext Transfer Protocol) / HTTPS (Hypertext Transfer Protocol Secure) undviks eftersom det skulle väcka misstankar snabbare. Klienten skickar en DNS A-fråga på ett unikt konstruerat värdnamn. Detta är Base64-kodat och liknar vanlig text, men innehåller IP-adress, värdnamn, användarnamn och en unik identifierare.
- Exfiltrering
Insamlad data skickas ut från nätverket. Data bryts ner i små bitar och skickas ut med hjälp av Base64-kodade DNS-frågor. Eftersom de skickas med UDP innehåller paketen ett transaktionsnummer. så att de kan monteras korrekt hos mottagaren. Förpackningsstorlekar hålls nere och frekvensen varieras så att det inte väcker misstankar. Det kanske inte är den snabbaste metoden, men det är svårt att upptäcka.
- Infiltration:
En cyberbrottsling måste skicka kommandon, skript etc. till den infekterade klienten. Skript skickas enkelt med en Base64-kodad DNS TXT-fråga. Kommandon kan t.ex. mottogs som svar på en Heartbeat. En DNS En fråga besvaras med NOERROR och en IPv4-adress. Den sistnämnda är kommandon.
Hur hindrar du bakdörren till din IT-infrastruktur
Det är viktigt att vara kritisk mot DNS i infrastrukturen. Om du inte redan har gjort det, överväg följande (listan är rangordnad efter svårighetsgraden i genomförandet):
- Vitlista för DNS-server.
- Blockera svartlistade och misstänkta domäner och IP-adresser, samt eventuella geo-platser.
- DNS-analys och statistik. Algoritmer över insamlad data, såsom frekvens, utseende, storlek, etc.
- Canary- eller Honeypot-lösning
Läs mer här:
Du kan läsa mer om DNS-tunnling här. Ett utmärkt molnbaserat DNS-skydd är Cisco Umbrella, som vi på Conscia även kan leverera som en uppskattad tjänst ihop med expertrådgivning under namnet Cloud Edge as a Service (nedladdningsbar brief till h).
Conscias experter erbjuder även en smidig IT-säkerhetsbedömning utifrån säkerhetsramverket CIS Controls, vilket är där många verksamheter vill inleda sin säkerhetshöjande resa.
Hör av dig så hjälper vi er gärna: