Eine Fallstudie von Unit42 zeigt zwei Anwendungen von DNS-Tunneling die über die bisher bekannten Verwendungen von DNS-Tunneling für Command-and-Control (C2) und virtuelle private Netzwerke (VPN) hinausgehen.
DNS-Tunneling als verdeckter Kommunikationskanal
Schädliche Akteure nutzen gelegentlich DNS-Tunneling als verdeckten Kommunikationskanal, da es herkömmliche Netzwerk-Firewalls umgehen kann. Dies ermöglicht C2-Traffic und Datenexfiltration, die von traditionellen Erkennungsmethoden oft übersehen werden. Die Kommunikation wird dabei in der Subdomain versteckt, wie folgender Ablauf zeigt:
- Malware sendet eine DNS-Anfrage:
- Die infizierte Maschine sendet eine DNS-Anfrage, die Daten in der Subdomain kodiert, z.B.
encoded-data.malicious[.]site
.
- Die infizierte Maschine sendet eine DNS-Anfrage, die Daten in der Subdomain kodiert, z.B.
- DNS-Resolver leitet die Anfrage weiter:
- Die Anfrage wird über verschiedene DNS-Server weitergeleitet, bis sie den autoritativen Nameserver erreicht, der von den Angreifern kontrolliert wird.
- Angreifer dekodieren die Daten:
- Der autoritative Nameserver dekodiert die Daten aus der Subdomain und erhält die Informationen, die die Malware senden wollte.
- Manipulation der DNS-Antwort:
- Der autoritative Nameserver erstellt eine DNS-Antwort, die bösartige Daten enthält, und sendet diese Antwort zurück an die infizierte Maschine.
- Ausführung der bösartigen Daten:
- Die infizierte Maschine empfängt die manipulierte DNS-Antwort und führt die enthaltenen bösartigen Daten aus, wodurch der Angreifer weitere Kontrolle über das System erlangen kann.
Scannen und Tracking
Unit42 hat kürzlich drei Kampagnen entdeckt, bei denen DNS-Tunneling für andere Zwecke als C2 und VPN genutzt wurde: Scannen und Tracking.
- Scannen: Angreifer verwenden DNS-Tunneling, um die Netzwerk-Infrastruktur eines Opfers zu scannen und Informationen zu sammeln, die für zukünftige Angriffe nützlich sind.
- Tracking: Angreifer nutzen DNS-Tunneling-Techniken, um die Zustellung bösartiger E-Mails zu verfolgen und die Nutzung von Content Delivery Networks (CDN) zu überwachen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: