Poprzedni Następny

Czy DNS w twojej sieci jest szczelny?

Zespół badawczy firmy Fidelis (Threat Research) odkrył rosnącą tendencje kradzieży danych poprzez wykorzystanie protokoły DNS.
Autorzy artykułu zwracają uwagę, że większość analizatorów ruchu nie sprawdza dokładnie ruchu tego typu. Patrzą one tylko na reputacje nazwy serwera domenowego i zwrotnego adresu IP. Czy to może oznaczać problem? Dla firm, które nie wiedzą o problemie z pewnością tak. Ale są sposoby, aby sobie z tym poradzić. Bo do wykrycia „ukrytego” wycieku danych wystarczy klika narzędzi i odpowiedni skrypt.

Przykładowa kradzież poprzez DNS

W pierwszym z przykładów jest użyte narzędzie dns-exfiltration (plik przed wysłaniem jest dzielony na bloki i kodowany w base64). Gdy atakujący kontroluje lokalny serwer domenowy może podmienić te dane na swój złośliwy kod. W ten sposób może wysyłać niewłaściwe zapytania do serwera domenowego. Tym samym narusza standardy RFC dla DNS (RFC-962, RFC-1123).

Innym przykładem jest użycie narzędzi dnscat2 (w porównaniu do dnscat umożliwia podmianę prefiksu) Przeanalizowane są też WTimerAT (złośliwy program do infekcji plików) i Ismdoor (trojan) który nie korzysta z rekordów TXT – korzysta z zapytań DNS AAAA.

Jak wykryć ukryty wyciek danych

  1. Zlicz subdomeny w domenach, szukaj nietypowych, większych niż średnia wartości.
  2. Dowiedz się czy liczba zapytań z danej domeny mieści się w średniej.
  3. Upewnij się czy nazwy i inne cechy subdomen – czy wyglądają na losowe, czy raczej na wygenerowane sztucznie i powtarzalne.
  4. Sprawdź zapytania, które otrzymuje DNS – czy nazwy domen i subdomen nie zawierają nietypowych/nieprawidłowych znaków.
  5. Bądź pewny czy serwer nazw domenowych jest używany przez wszystkie/większość komputerów w organizacji.

Źródło: Fidelis Threat Research

Potrzebujesz rozwiązań cyberbezpieczeństwa dla firmy – skontaktuj się z nami.

Podobne