Jak hakerzy wykorzystują tunelowanie DNS do śledzenia aktywności ofiar i skanowania sieci?

W ramach ataku tunelującego DNS osoba zagrażająca rejestruje domenę, która przekierowuje ofiary na serwer osoby atakującej, gdzie działa tunelujące szkodliwe oprogramowanie.

Następnie haker infekuje komputer złośliwym oprogramowaniem i wykorzystuje żądania kierowane do modułu rozpoznawania nazw DNS, aby połączyć się z serwerem kontrolowanym przez siebie i ustanowić tunel DNS przez moduł rozpoznawania nazw, omijając konwencjonalne zapory sieciowe i pozostając niewykrytym, ponieważ organizacje zwykle nie monitorują ruchu DNS.

Zazwyczaj ugrupowania zagrażające wykorzystują tunelowanie DNS do komunikacji typu „dowodzenie i kontrola” (C&C) oraz do zestawiania wirtualnej sieci prywatnej (VPN), ale trzy zbadane przez Palo kampanie pokazały, że można użyć go również do śledzenia aktywności i skanowania sieci.

Do śledzenia hakerzy wykorzystują złośliwe oprogramowanie, które może osadzić informacje o użytkowniku i szczegóły jego działań w unikalnej subdomenie zapytania DNS, działającej jako ładunek tunelujący.

Zapytania DNS wysyłane są do kontrolowanego przez osobę atakującą serwera nazw, który je przechowuje, umożliwiając podmiotowi zagrażającemu wykorzystanie unikalnych subdomen i znaczników czasu jako dziennika aktywności ofiary.

W ramach kampanii śledzonej jako TrkCdn, skierowanej do ponad 700 ofiar i wykorzystującej 75 adresów IP w 658 domenach, napastnicy prawdopodobnie używają tunelowania DNS w celu śledzenia interakcji ofiar ze złośliwymi wiadomościami e-mail.

Gdy ofiara otworzy e-mail lub kliknie zawarty w nim link, osadzona treść generuje zapytanie DNS, które jest przekazywane do kontrolowanego przez osobę atakującą serwera nazw, a ten zwraca wynik DNS prowadzący do reklam, spamu lub phishingu.

„W celu śledzenia osoby atakujące mogą wysyłać zapytania do dzienników DNS ze swoich wiarygodnych serwerów nazw i porównywać ładunek z wartościami skrótu adresów e-mail. W ten sposób napastnicy mogą dowiedzieć się, kiedy konkretna ofiara otwiera jedną z wiadomości e-mail lub klika łącze, i mogą monitorować skuteczność kampanii” – wyjaśnia Palo Alto Networks.

Napastnicy rejestrowali domeny wykorzystywane w tej kampanii na 2 do 12 tygodni przed dystrybucją do zamierzonych ofiar i kontynuowali monitorowanie ich zachowania przez 9 do 11 miesięcy. Zwykle wycofują domeny po roku.

Według Palo Alto Networks napastnicy rejestrowali nowe domeny na potrzeby tej kampanii w okresie od października 2020 r. do stycznia 2024 r.

W drugiej kampanii, określanej jako SpamTracker, zastosowano podobną technikę śledzenia dostarczania spamu, a badacze Palo Alto zidentyfikowali 44 powiązane z nią domeny.

Trzecia kampania, nazwana SecShow, opiera się na tunelowaniu DNS w celu skanowania sieci w poszukiwaniu luk w zabezpieczeniach, co poprzedza właściwe ataki.

Firma Palo Alto zaobserwowała, że hakerzy skanują sieć w poszukiwaniu otwartych programów rozpoznawania nazw, testują opóźnienia mechanizmów rozpoznawania nazw, wykorzystują wady zabezpieczeń w mechanizmach rozpoznawania i zbierają informacje o czasie wygaśnięcia domen.

„Ta kampania jest ogólnie skierowana do osób korzystających z otwartych rozwiązań. W rezultacie ustaliliśmy, że ofiary pochodzą głównie z sektora edukacji, zaawansowanych technologii i instytucji rządowych, gdzie często spotyka się open source. Kampania obejmuje trzy domeny i wykorzystuje różne subdomeny w celu uzyskania różnorodnych wyników skanowania sieci” – informuje Palo Alto Networks.

Aby zmniejszyć ryzyko związane z tunelowaniem DNS, organizacjom zaleca się zapobieganie akceptowaniu przez programy tłumaczące niepotrzebnych zapytań i upewnianie się, że ich mechanizmy rozpoznawania nazw korzystają z najnowszych wersji oprogramowania, co może zapobiec wykorzystaniu znanych luk w zabezpieczeniach.