威胁行为者正在使用域名系统 (DNS) 隧道来跟踪其目标何时打开网络钓鱼电子邮件并单击恶意链接,并扫描网络以查找潜在漏洞。
DNS 隧道是对通过 DNS 查询发送和检索的数据或命令进行编码,本质上是将 DNS(基本网络通信组件)转变为隐蔽的通信通道。
威胁行为者以各种方式对数据进行编码,例如 Base16 或 Base64 或自定义文本编码算法,因此可以在查询 DNS 记录(例如 TXT、MX、CNAME 和地址记录)时返回它们。
黑客通常使用 DNS 隧道来绕过网络防火墙和过滤器,利用该技术进行命令和控制 (C2) 以及虚拟专用网络 (VPN) 操作。
还有合法的 DNS 隧道应用程序,例如用于绕过审查制度。
通过 DNS 隧道进行数据泄露和注入
Palo Alto Networks 的 Unit 42 安全研究团队最近发现,在涉及受害者跟踪和网络扫描的恶意活动中还额外使用了 DNS 隧道。
TrkCdn 活动
第一个活动被标记为“TrkCdn”,重点跟踪受害者与网络钓鱼电子邮件内容的交互。
攻击者将内容嵌入到电子邮件中,打开该电子邮件后,会对攻击者控制的子域(其 FQDN 包含编码内容)执行 DNS 查询。
例如,4e09ef9806fb9af448a5efcd60395815.trk.simitor[.]com。
其中 4e09ef9806fb9af448a5efcd60395815 是unit42@not-a-real-domain[.]com的 md5 哈希值 ,它解析为主要权威名称服务器的 CNAME。
“因此,尽管不同目标的 FQDN 有所不同,但它们都会转发到 cdn.simitor[.]com 使用的同一 IP 地址,”研究人员解释道。
“然后,该权威名称服务器返回一个 DNS 结果,该结果指向攻击者控制的服务器,该服务器提供攻击者控制的内容。这些内容可能包括广告、垃圾邮件或网络钓鱼内容。
这种方法允许攻击者评估他们的策略,改进策略,并确认向受害者发送了恶意负载。
TrkCdn 运营中使用的域名的生命周期
Unit 42 的报告还重点介绍了一个类似的活动,该活动使用 DNS 隧道来跟踪垃圾邮件的传递,称为“SpamTracker”。
SecShow 活动
分析师发现的第二个活动代号为“SecShow”,利用 DNS 隧道扫描网络基础设施。
攻击者将 IP 地址和时间戳嵌入到 DNS 查询中,以绘制网络布局并发现可用于渗透、数据盗窃或拒绝服务的潜在配置缺陷。
此活动中使用的 DNS 查询会定期重复,以实现实时数据收集、检测状态变化并测试不同网络部分对未经请求的 DNS 请求的响应。
威胁行为者选择 DNS 隧道而不是跟踪像素和常规网络扫描工具等更传统的方法,原因有多种,包括绕过安全工具、避免检测和保持操作多功能性的能力。
Unit 42 建议组织实施 DNS 监控和分析工具来监控和分析日志以发现不寻常的流量模式和异常情况,例如非典型或大容量请求。
此外,建议限制网络中的 DNS 解析器仅处理必要的查询,从而减少 DNS 隧道滥用的可能性。