Hackers usam tunelamento DNS para rastrear vítimas

Operadores de ameaças estão usando o tunelamento do sistema de nomes de domínio para rastrear quando seus alvos abrem e-mails de phishing e clicam em links maliciosos e buscar de possíveis vulnerabilidades em redes
Da Redação
14/05/2024

Operadores de ameaças estão usando o tunelamento do sistema de nomes de domínio (DNS) para rastrear quando seus alvos abrem e-mails de phishing e clicam em links maliciosos, e também para descobrir possíveis vulnerabilidades em redes. O tunelamento DNS é a codificação de dados ou comandos que são enviados e recuperados por meio de consultas, transformando essencialmente o DNS, um componente fundamental de comunicação de rede, em um canal de comunicação secreto.

Os hackers codificam os dados de várias maneiras, como Base16 ou Base64 ou algoritmos de codificação textual personalizados, para que possam ser retornados ao consultar registros DNS, como TXT, MX, CName e registros de endereço.

Os hackers geralmente usam o tunelamento DNS para contornar firewalls e filtros de rede, empregando a técnica para operações de comando e controle (C&C) e rede privada virtual (VPN). Existem também aplicativos legítimos de tunelamento de DNS, como para contornar a censura.

A equipe de pesquisa de segurança da Unit 42 da Palo Alto Networks descobriu recentemente o uso adicional de tunelamento DNS em campanhas maliciosas envolvendo rastreamento de vítimas e varredura de rede. A primeira campanha, rastreada como “TrkCdn”, concentra-se no rastreamento das interações das vítimas com conteúdo de e-mail de phishing. Os invasores incorporam conteúdo em um e-mail que, quando aberto, executa uma consulta DNS em subdomínios controlados pelo invasor cujo FQDN contém conteúdo codificado.

A segunda campanha, identificada pelos analistas pelo codinome SecShow, utiliza tunelamento DNS para verificar infraestruturas de rede. Os invasores incorporam endereços IP e carimbos de data/hora em consultas DNS para mapear layouts de rede e descobrir possíveis falhas de configuração que podem ser exploradas para infiltração, roubo de dados ou negação de serviço.

Veja isso
DNSSEC já protege 1,5 milhão de domínios “.br”
UE planeja ter serviço próprio de DNS para maior segurança

As consultas DNS usadas nesta campanha foram repetidas periodicamente para permitir a coleta de dados em tempo real, detectar alterações de status e testar a resposta de diferentes partes da rede a solicitações DNS não solicitadas.

A Unit 42 orienta as organizações a implementarem ferramentas de monitoramento e análise de DNS para monitorar e analisar logs em busca de padrões e anomalias de tráfego incomuns, como solicitações atípicas ou de alto volume.

Mais detalhes sobre como os hackers usam o tunelamento de DNS para rastrear seus alvos podem ser obtidos clicando aqui.

Compartilhar:

Últimas Notícias