dns tunneling - dns-sikkerhed

DNS TUNNELING - DEN POTENTIELLE BAGDØR I DIN INFRASTRUKTUR?


13.06.2019 Af Anders Aaskov Jepsen, Solutions Architect hos Credocom

DNS er en helt uundværlig del af vores IT-infrastruktur, og kan nok bedst beskrives som ”internettets telefonbog”. Det er DNS-protokollen, der sætter os i stand til at oversætte domænenavne til ip-adresser, når vi ”surfer” på internettet, og når vi anvender en app på vores mobiltelefon.

DNS anvender port 53. Derfor er denne port ofte åben i hele infrastrukturen. På klienter, switche, routere, firewalls osv. Forespørgsler transporteres primært via ”best effort”-protokollen UDP, fremfor TCP, pga. det generelt lavere ressourceforbrug. Klienten spørger blot igen, hvis den ikke fik et svar i første omgang.

Funktionaliteten i DNS-protokollen tillader, at tekst-strenge sendes frit til og fra internettet. Dette bliver i høj grad udnyttet af cyberkriminelle.

Teknikker og anvendelse i malware:

C2 – Command & Control, heartbeat og kommunikation:

Malware-inficerede klienter har behov for at kommunikere hjem til en C2-server og fortælle, at de er aktive og klar. Kommunikation kamufleres nemt som DNS-trafik, så kommunikation over HTTP/HTTPS undgås, da det hurtigere vækker mistanke. Klienten sender en DNS A-forespørgsel på en unikt konstrueret host-navn. Det er Base64-encoded og ligner almindelig tekst, men indeholder ip-adresse, host-navn, brugernavn, samt unik identifikation.

Eksfiltrering:

Indsamlet data sendes ud af netværket. Data deles op i små bidder og sendes ud vha. Base64-encodede DNS-forespørgsler. Da de sendes vha. UDP indeholder pakkerne et transaktions-nr. så de kan samles korrekt hos modtageren. Pakkestørrelser holdes nede og frekvensen varieres, så det ikke vækker mistanke. Det er måske ikke den hurtigste metode, men den er svær at opdage.

Infiltrering:

Den cyberkriminelle har behov for at sende kommandoer, scripts osv. til den inficerede klient. Scripts sendes nemt med en Base64-encoded DNS TXT-forespørgsel. Kommandoer kan f.eks. modtages som svar på et heartbeat. En DNS A-forespørgsel besvares med NOERROR og en IPv4-adresse. Sidstnævnte er kommandoer.

Hvad kan du gøre?

Det er vigtigt at forholde sig kritisk til DNS i infrastrukturen. Overvej følgende tiltag, hvis du ikke allerede har gjort det:

•   DNS Server white listing.

•   Bloker blacklistede og mistænkelige domæner og ip-adresser, samt evt. geo-lokationer.

•   DNS-analyse og statistik. Algoritmer på tværs af indsamlet data, såsom frekvens, udseende, størrelse, osv.

•   Canary- eller Honeypot-løsning

(Listen er prioriteret efter implementeringens sværhedsgrad.)

Der findes mange frit tilgængelige publikationer om DNS Tunneling og om hvordan du beskytter dig. Nogle gode steder at starte kunne være “SANS Institute – Reading Room” og “CIS Critical Security Controls” (kontrol 6, 7 og 8).

CIS 20 - critical security controls

Her er et overblik over alle CIS20 kontrollerne. 

Credocom har stærke partnerskaber med både Infoblox og Palo Alto Networks, som er markedsledende producenter inden for DNS og IT-sikkerhed med hhv. BloxOne Threat Defense (tidl. ActiveTrust og ActiveTrust Cloud) fra Infoblox og DNS Security Service fra Palo Alto Networks.

Læs mere om vores partnere