What is DNS Tunneling?

The Domain Name System (DNS) protocol is one of the most widely used and trusted protocols on the Internet. However, DNS tunneling attacks abuse this protocol to sneak malicious traffic past an organization’s defenses. By using malicious domains and DNS servers, an attacker can use DNS to evade network defenses and perform data exfiltration.

OBTENHA UMA DEMONSTRAÇÃO Guia do comprador NGFW

What is DNS Tunneling?

O que é DNS?

Em termos simples, DNS é a lista telefônica da Internet. Ao navegar na Internet, a maioria dos usuários prefere digitar o domínio ou URL do site que deseja visitar (como https://www.checkpoint.com). No entanto, os servidores e a infra-estrutura da Internet utilizam endereços IP para identificar o destino do tráfego e encaminhá-lo para lá.

 

O DNS fornece conversões entre nomes de domínio e endereços IP. Está organizado como um sistema hierárquico com servidores para diferentes subdomínios. Um visitante do site checkpoint.com perguntaria um .com Servidor DNS para o endereço IP do servidor DNS checkpoint.com. Uma segunda solicitação a este servidor DNS forneceria então o endereço IP do servidor que hospeda a página desejada. O usuário agora pode visitar o site desejado.

Como funciona o encapsulamento DNS?

DNS é um dos protocolos fundamentais da Internet. Sem os serviços de pesquisa que fornece, seria quase impossível encontrar qualquer coisa na Internet. Para visitar um site, você precisaria saber o endereço IP exato do servidor que o hospeda, o que é impossível. Como resultado, o tráfego DNS é um dos tráfegos mais confiáveis da Internet. As organizações permitem que ele passe por seu firewall (tanto de entrada quanto de saída) porque é necessário que seus funcionários internos visitem sites externos e que usuários externos encontrem seus sites.

 

DNS tunneling takes advantage of this fact by using DNS requests to implement a command and control channel for malware. Inbound DNS traffic can carry commands to the malware, while outbound traffic can exfiltrate sensitive data or provide responses to the malware operator’s requests. This works because DNS is a very flexible protocol. There are very few restrictions on the data that a DNS request contains because it is designed to look for domain names of websites. Since almost anything can be a domain name, these fields can be used to carry sensitive information. These requests are designed to go to attacker-controlled DNS servers, ensuring that they can receive the requests and respond in the corresponding DNS replies.

 

DNS tunneling attacks are simple to perform, and numerous DNS tunneling toolkits exist. This makes it possible for even unsophisticated attackers to use this technique to sneak data past an organization’s network security solutions.

Detectando ataques de encapsulamento DNS

O tunelamento DNS envolve abuso do protocolo DNS subjacente. Em vez de usar solicitações e respostas de DNS para realizar pesquisas legítimas de endereços IP, o malware o utiliza para implementar um canal de comando e controle com seu manipulador.

 

A flexibilidade do DNS o torna uma boa opção para exfiltração de dados; no entanto, tem seus limites. Alguns indicadores de tunelamento DNS em uma rede podem incluir:

  • Solicitações de domínio incomuns: o malware de tunelamento de DNS codifica dados dentro de um nome de domínio solicitado (como DATA_HERE.baddomain.com). A inspeção dos nomes de domínio solicitados nas solicitações de DNS pode permitir que uma organização diferencie o tráfego legítimo da tentativa de tunelamento de DNS.
  • Solicitações de domínios incomuns: o tunelamento de DNS só funciona se o invasor possuir o domínio de destino, para que as solicitações de DNS sejam direcionadas ao servidor DNS. Se uma organização estiver enfrentando um aumento repentino nas solicitações de um domínio incomum, isso poderá indicar um túnel DNS, especialmente se esse domínio tiver sido criado recentemente.
  • Alto volume de tráfego DNS: O nome de domínio em uma solicitação DNS tem tamanho máximo (253 caracteres). Isso significa que um invasor provavelmente precisará de um grande número de solicitações de DNS maliciosas para realizar a exfiltração de dados ou implementar um protocolo de comando e controle altamente interativo. O aumento resultante no tráfego DNS pode ser um indicador de tunelamento DNS.

 

Todos esses fatores podem ser benignos por si só. No entanto, se uma organização estiver enfrentando várias ou todas essas anormalidades, isso pode ser uma indicação de que o malware de tunelamento de DNS está presente e ativo na rede.

Como se proteger contra o encapsulamento de DNS

A proteção contra o tunelamento DNS requer um sistema avançado de prevenção de ameaças de rede , capaz de detectar e bloquear essa tentativa de exfiltração de dados. Tal sistema precisa realizar inspeção do tráfego de rede e ter acesso a inteligência de ameaça robusta para apoiar a identificação de tráfego direcionado a domínios maliciosos e conteúdo malicioso que possa estar incorporado no tráfego DNS.

 

O Firewall de próxima geração (NGFWs) da Check Point fornece detecção de ameaças e recursos de segurança de rede líderes do setor. Para saber mais sobre as soluções da Check Point e como elas podem melhorar a segurança da rede da sua organização, entre em contato conosco. Você também pode  solicitar uma demonstração para ver os NGFWs da Check Point em ação.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK