DNS-Tunneling: verdeckte Kommunikation und Tracking möglich

Table of Contents

Eine Fallstudie von Unit42 zeigt zwei Anwendungen von DNS-Tunneling die über die bisher bekannten Verwendungen von DNS-Tunneling für Command-and-Control (C2) und virtuelle private Netzwerke (VPN) hinausgehen.

DNS-Tunneling als verdeckter Kommunikationskanal

Schädliche Akteure nutzen gelegentlich DNS-Tunneling als verdeckten Kommunikationskanal, da es herkömmliche Netzwerk-Firewalls umgehen kann. Dies ermöglicht C2-Traffic und Datenexfiltration, die von traditionellen Erkennungsmethoden oft übersehen werden. Die Kommunikation wird dabei in der Subdomain versteckt, wie folgender Ablauf zeigt:

  1. Malware sendet eine DNS-Anfrage:
    • Die infizierte Maschine sendet eine DNS-Anfrage, die Daten in der Subdomain kodiert, z.B. encoded-data.malicious[.]site.
  2. DNS-Resolver leitet die Anfrage weiter:
    • Die Anfrage wird über verschiedene DNS-Server weitergeleitet, bis sie den autoritativen Nameserver erreicht, der von den Angreifern kontrolliert wird.
  3. Angreifer dekodieren die Daten:
    • Der autoritative Nameserver dekodiert die Daten aus der Subdomain und erhält die Informationen, die die Malware senden wollte.
  4. Manipulation der DNS-Antwort:
    • Der autoritative Nameserver erstellt eine DNS-Antwort, die bösartige Daten enthält, und sendet diese Antwort zurück an die infizierte Maschine.
  5. Ausführung der bösartigen Daten:
    • Die infizierte Maschine empfängt die manipulierte DNS-Antwort und führt die enthaltenen bösartigen Daten aus, wodurch der Angreifer weitere Kontrolle über das System erlangen kann.

Scannen und Tracking

Unit42 hat kürzlich drei Kampagnen entdeckt, bei denen DNS-Tunneling für andere Zwecke als C2 und VPN genutzt wurde: Scannen und Tracking.

  1. Scannen: Angreifer verwenden DNS-Tunneling, um die Netzwerk-Infrastruktur eines Opfers zu scannen und Informationen zu sammeln, die für zukünftige Angriffe nützlich sind.
  2. Tracking: Angreifer nutzen DNS-Tunneling-Techniken, um die Zustellung bösartiger E-Mails zu verfolgen und die Nutzung von Content Delivery Networks (CDN) zu überwachen.

Related Posts

Sicherheitslücke in Linksys-Routern ermöglicht Command Injection

Am 6. Mai 2024 wurden zwei Sicherheitslücken in Linksys-Routern entdeckt: CVE-2024-33788 und CVE-2024-33789. Diese Schwachstellen betreffen die Möglichkeit zur Command Injection in Linksys-Routern. Die Schwere dieser Sicherheitslücken hat laut BSI einen CVSS Base Score von 9.8/10, aber ein Proof-of-Concept wurde bereits veröffentlicht.

Read More

Command injection im Network Monitoring Tool Cacti möglich

Das Github Security Advisory GHSA-cr28-x256-xf5m beschreibt eine kritische Command Injection Schwachstelle im beliebten Open Source Network Monitoring Tool Cacti. Diese Schwachstelle CVE-2024-29895 betrifft die Version 1.3.x DEV, während die gepatchte Version ebenfalls 1.3.x DEV ist.

Read More

Juniper Junos OS und Junos OS Schwachstellen in OpenSSH

Juniper Networks hat ein Advisory für Junos OS und Junos OS Evolved veröffentlicht, die auf mehrere kritische Schwachstellen in OpenSSH v7.5p1 hinweist, die in diesen Betriebssystemen verwendet wird. Die betroffenen Produktversionen sind Junos OS ab 19.4R1 und Junos OS Evolved ab 22.3R1.

Read More