新闻中心
——“因为我们的存在,让您的邮件系统更有价值!”
黑客利用DNS隧道技术扫描漏洞并实施攻击
近日,黑客利用域名系统(DNS)隧道技术跟踪受害者,追踪其何时打开网络钓鱼电子邮件和点击恶意链接,并扫描网络是否存在潜在漏洞。
DNS隧道技术是对通过DNS查询发送和检索的数据或命令进行编码,实质上是将DNS这一基本网络通信组件变成一个隐蔽的通信渠道。
黑客以Base16或Base64或自定义文本编码算法等各种方式对数据进行编码,以便在查询TXT、MX、CNAME和地址记录等DNS记录时返回这些数据。
黑客通常使用DNS隧道绕过网络防火墙和过滤器,利用这种技术进行指挥和控制(C2)以及虚拟专用网络(VPN)操作。DNS隧道技术也有合法的应用,如绕过审查。
通过DNS隧道进行数据外渗和注入,图源:Unit 42
Palo Alto Networks的Unit42安全研究团队最近在涉及受害者跟踪和网络扫描的恶意活动中发现了更多使用DNS隧道的情况。
第一个活动被追踪为 "TrkCdn",重点是追踪受害者与钓鱼电子邮件内容的关联。
攻击者在电子邮件中嵌入内容,打开后会对攻击者控制的子域执行DNS查询,这些子域的FQDN包含编码内容。例如,4e09ef9806fb9af448a5efcd60395815.trk.simitor[.]com。
其中4e09ef9806fb9af448a5efcd60395815是unit42@not-a-real-domain[.]com的md5哈希值,它解析为主要权威名称服务器的CNAME。
研究人员解释说:尽管不同目标的FQDN各不相同,但它们都被转发到 cdn.simitor[.]com使用的相同IP地址。随后该权威名称服务器会返回一个DNS结果,该结果会指向一个由攻击者控制的服务器,该服务器会发送由攻击者控制的内容。这些内容可能包括广告、垃圾邮件或网络钓鱼内容。
通过这种方法,攻击者可以评估他们的策略,改进策略,并确认向受害者发送恶意有效载荷。
TrkCdn业务中使用的域名的生命周期,图源:Unit 42
Unit 42的报告还强调了一个类似的活动,该活动利用DNS隧道跟踪垃圾邮件的发送,被称为SpamTracker。
SecShow 活动
分析人员发现的第二个活动代号为 "SecShow",利用DNS隧道扫描网络基础设施。攻击者会在DNS查询中嵌入IP地址和时间戳,以绘制网络布局图,发现潜在的配置漏洞,并利用这些漏洞进行渗透、数据窃取或拒绝服务。
该活动中使用的DNS查询会定期重复,以实现实时数据收集、检测状态变化,并测试不同网络部分对主动DNS请求的响应。
威胁行为者选择DNS隧道而不是跟踪像素和常规网络扫描工具等更传统的方法有几个原因,包括能够绕过安全工具、避免检测和保持操作的多功能性。
Unit 42建议企业实施DNS监控和分析工具,以监控和分析日志中的异常流量模式和异常情况,如非典型或高流量请求。
此外,最好限制网络中的DNS解析器,只处理必要的查询,减少DNS隧道滥用的可能性。
