Cảnh báo tin tặc sử dụng DNS tunneling để quét mạng, theo dõi nạn nhân

Kẻ tấn công đang sử dụng DNS tunneling để theo dõi các mục tiêu mở email lừa đảo và nhấp vào liên kết độc hại, cũng như quét mạng để tìm các lỗ hổng tiềm ẩn.

DNS tunneling là quá trình mã hóa dữ liệu hoặc lệnh được gửi và nhận thông qua các truy vấn DNS, thực chất biến DNS, một thành phần truyền thông mạng cơ bản, thành một kênh truyền thông ẩn.

DNS tunneling là quá trình mã hóa dữ liệu hoặc lệnh được gửi và nhận thông qua các truy vấn DNS, thực chất biến DNS, một thành phần truyền thông mạng cơ bản, thành một kênh truyền thông ẩn.

Kẻ tấn công mã hóa dữ liệu bằng nhiều cách khác nhau, chẳng hạn như Base16 hoặc Base64 hoặc các thuật toán mã hóa văn bản tùy chỉnh, để có thể trả về khi truy vấn các bản ghi DNS, như bản ghi TXT, MX, CNAME và Address.

Hacker thường sử dụng DNS tunneling để bypass các tường lửa và bộ lọc mạng, sử dụng kỹ thuật này cho hoạt động điều khiển và điều hành (C2) và mạng riêng ảo (VPN). Cũng có các ứng dụng DNS tunneling hợp pháp, chẳng hạn như để bypass kiểm duyệt.

Đội nghiên cứu an ninh Unit 42 của Palo Alto Networks gần đây đã phát hiện việc sử dụng DNS tunneling bổ sung trong các chiến dịch độc hại liên quan đến theo dõi nạn nhân và quét mạng.

Chiến dịch đầu tiên, được theo dõi với tên gọi “TrkCdn,” tập trung vào việc theo dõi tương tác của nạn nhân với nội dung email lừa đảo.

Các kẻ tấn công nhúng nội dung vào email, khi mở ra, thực hiện một truy vấn DNS đến các miền con được kiểm soát bởi kẻ tấn công mà FQDN chứa nội dung đã được mã hóa.

Ví dụ: 4e09ef9806fb9af448a5efcd60395815.trk.simitor[.]com. với 4e09ef9806fb9af448a5efcd60395815 là băm md5 của unit42@not-a-real-domain[.]com, mà giải quyết thành một CNAME đến một máy chủ tên chính thống nhất.

Do đó, mặc dù FQDN thay đổi trên các mục tiêu khác nhau, chúng đều được chuyển tiếp đến cùng một địa chỉ IP được sử dụng bởi cdn.simitor[.]com

Máy chủ tên chính thống này sau đó trả về kết quả DNS dẫn đến một máy chủ được kẻ tấn công kiểm soát cung cấp nội dung do kẻ tấn công kiểm soát. Nội dung này có thể bao gồm quảng cáo, rác hoặc nội dung lừa đảo.

Phương pháp này cho phép các kẻ tấn công đánh giá chiến lược của họ, tinh chỉnh chúng và xác nhận việc giao nội dung độc hại cho nạn nhân của họ.

Chiến dịch thứ hai được phát hiện bởi các nhà phân tích, mang tên mã “SecShow,” sử dụng DNS tunneling để quét cơ sở hạ tầng mạng.

Các kẻ tấn công nhúng địa chỉ IP và dấu thời gian vào các truy vấn DNS để vẽ ra bố cục mạng và khám phá các lỗ hổng cấu hình tiềm ẩn có thể bị khai thác cho xâm nhập, đánh cắp dữ liệu hoặc từ chối dịch vụ.

Các truy vấn DNS được sử dụng trong chiến dịch này được lặp đi lặp lại định kỳ để cho phép thu thập dữ liệu theo thời gian thực, phát hiện thay đổi trạng thái và kiểm tra phản ứng của các phần mạng khác nhau đối với các yêu cầu DNS không được yêu cầu.

Các kẻ tấn công chọn DNS tunneling thay vì các phương pháp truyền thống như pixel theo dõi và các công cụ quét mạng thông thường vì nhiều lý do, bao gồm khả năng bypass các công cụ bảo mật, tránh phát hiện và duy trì tính linh hoạt trong hoạt động.

Khuyến nghị

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, VNCERT/CC khuyến nghị quản trị viên được khuyến cáo các tổ chức triển khai các công cụ theo dõi và phân tích DNS để theo dõi và phân tích nhật ký để phát hiện các mẫu lưu lượng không bình thường và các biến thể, chẳng hạn như các yêu cầu không bình thường hoặc lớn.

Ngoài ra, nên hạn chế các bộ giải quyết DNS trong mạng để xử lý chỉ các truy vấn cần thiết, giảm nguy cơ lạm dụng DNS tunneling.