DNS-Tunneling: verdeckte Kommunikation und Tracking möglich
Table of Contents
Eine Fallstudie von Unit42 zeigt zwei Anwendungen von DNS-Tunneling die über die bisher bekannten Verwendungen von DNS-Tunneling für Command-and-Control (C2) und virtuelle private Netzwerke (VPN) hinausgehen.
DNS-Tunneling als verdeckter Kommunikationskanal
Schädliche Akteure nutzen gelegentlich DNS-Tunneling als verdeckten Kommunikationskanal, da es herkömmliche Netzwerk-Firewalls umgehen kann. Dies ermöglicht C2-Traffic und Datenexfiltration, die von traditionellen Erkennungsmethoden oft übersehen werden. Die Kommunikation wird dabei in der Subdomain versteckt, wie folgender Ablauf zeigt:
- Malware sendet eine DNS-Anfrage:
- Die infizierte Maschine sendet eine DNS-Anfrage, die Daten in der Subdomain kodiert, z.B.
encoded-data.malicious[.]site.
- Die infizierte Maschine sendet eine DNS-Anfrage, die Daten in der Subdomain kodiert, z.B.
- DNS-Resolver leitet die Anfrage weiter:
- Die Anfrage wird über verschiedene DNS-Server weitergeleitet, bis sie den autoritativen Nameserver erreicht, der von den Angreifern kontrolliert wird.
- Angreifer dekodieren die Daten:
- Der autoritative Nameserver dekodiert die Daten aus der Subdomain und erhält die Informationen, die die Malware senden wollte.
- Manipulation der DNS-Antwort:
- Der autoritative Nameserver erstellt eine DNS-Antwort, die bösartige Daten enthält, und sendet diese Antwort zurück an die infizierte Maschine.
- Ausführung der bösartigen Daten:
- Die infizierte Maschine empfängt die manipulierte DNS-Antwort und führt die enthaltenen bösartigen Daten aus, wodurch der Angreifer weitere Kontrolle über das System erlangen kann.
Scannen und Tracking
Unit42 hat kürzlich drei Kampagnen entdeckt, bei denen DNS-Tunneling für andere Zwecke als C2 und VPN genutzt wurde: Scannen und Tracking.
- Scannen: Angreifer verwenden DNS-Tunneling, um die Netzwerk-Infrastruktur eines Opfers zu scannen und Informationen zu sammeln, die für zukünftige Angriffe nützlich sind.
- Tracking: Angreifer nutzen DNS-Tunneling-Techniken, um die Zustellung bösartiger E-Mails zu verfolgen und die Nutzung von Content Delivery Networks (CDN) zu überwachen.