The Domain Name System (DNS) protocol is one of the most widely used and trusted protocols on the Internet. However, DNS tunneling attacks abuse this protocol to sneak malicious traffic past an organization’s defenses. By using malicious domains and DNS servers, an attacker can use DNS to evade network defenses and perform data exfiltration.
En termes simples, le DNS est l'annuaire téléphonique de l'internet. Lorsqu'ils naviguent sur Internet, la plupart des utilisateurs préfèrent taper le domaine ou l'URL du site web qu'ils souhaitent visiter (comme https://www.checkpoint.com). Cependant, les serveurs et l'infrastructure de l'internet utilisent les adresses IP pour identifier la destination du trafic et l'acheminer.
Le DNS assure la conversion entre les noms de domaine et les adresses IP. Il est organisé comme un système hiérarchique avec des serveurs pour différents sous-domaines. Un visiteur du site checkpoint.com demanderait à ce que l'on lui envoie un fichier .com. Serveur DNS pour l'adresse IP du serveur DNS checkpoint.com. Une deuxième demande à ce serveur DNS fournit alors l'adresse IP du serveur hébergeant la page web souhaitée. L'utilisateur peut maintenant visiter le site qu'il souhaite.
Le DNS est l'un des protocoles fondamentaux de l'internet. Sans les services de recherche qu'il fournit, il serait pratiquement impossible de trouver quoi que ce soit sur l'internet. Pour visiter un site web, vous devez connaître l'adresse IP exacte du serveur qui l'héberge, ce qui est impossible. Par conséquent, le trafic DNS est l'un des trafics les plus fiables sur l'internet. Les organisations autorisent le passage à travers leur pare-feu (à la fois en entrée et en sortie) parce qu'il est nécessaire pour leurs employés internes de visiter des sites externes et pour les utilisateurs externes de trouver leurs sites web.
DNS tunneling takes advantage of this fact by using DNS requests to implement a command and control channel for malware. Inbound DNS traffic can carry commands to the malware, while outbound traffic can exfiltrate sensitive data or provide responses to the malware operator’s requests. This works because DNS is a very flexible protocol. There are very few restrictions on the data that a DNS request contains because it is designed to look for domain names of websites. Since almost anything can be a domain name, these fields can be used to carry sensitive information. These requests are designed to go to attacker-controlled DNS servers, ensuring that they can receive the requests and respond in the corresponding DNS replies.
DNS tunneling attacks are simple to perform, and numerous DNS tunneling toolkits exist. This makes it possible for even unsophisticated attackers to use this technique to sneak data past an organization’s network security solutions.
Le tunneling DNS implique une utilisation abusive du protocole DNS sous-jacent. Au lieu d'utiliser les requêtes et les réponses DNS pour effectuer des recherches légitimes d'adresses IP, le logiciel malveillant s'en sert pour mettre en place un canal de commande et de contrôle avec son gestionnaire.
La flexibilité du DNS en fait un bon choix pour l'exfiltration de données, mais il a ses limites. Voici quelques indicateurs de l'existence d'un tunnel DNS sur un réseau :
Tous ces facteurs peuvent être bénins en soi. Cependant, si une organisation présente plusieurs ou toutes ces anomalies, cela peut indiquer que le tunneling DNS logiciel malveillant est présent et actif au sein du réseau.
La protection contre le tunneling DNS nécessite un système avancé de prévention des menaces réseau capable de détecter et de bloquer cette tentative d'exfiltration de données. Un tel système doit inspecter le trafic du réseau et avoir accès à de solides renseignements sur les menaces pour permettre l'identification du trafic dirigé vers des domaines malveillants et du contenu malveillant qui peut être intégré dans le trafic DNS.
Les Pare-feu de nouvelle génération (NGFW) de Check Point offrent des capacités de pointe en matière de détection des menaces et de sécurité des réseaux. Pour en savoir plus sur les solutions de Check Point et sur la façon dont elles peuvent améliorer la sécurité du réseau de votre organisation, contactez-nous. Vous pouvez également demander une démonstration pour voir Check Point NGFWs en action.