بهره‌برداری خاموش بدافزارنویسان از پروتکل DNS
کد مطلب: 13854
تاریخ انتشار : سه شنبه ۲۲ اسفند ۱۳۹۶ ساعت ۰۸:۵۲
 
نویسندگان بدافزار در روش جدیدی با بهره‌برداری از پروتکل DNS ارتباطات خود را مخفی نگه می‌دارند و از شناسایی شدن جلوگیری می‌کنند.
بهره‌برداری خاموش بدافزارنویسان از پروتکل DNS
 
 
Share/Save/Bookmark
نویسندگان بدافزار در روش جدیدی با بهره‌برداری از پروتکل DNS ارتباطات خود را مخفی نگه می‌دارند و از شناسایی شدن جلوگیری می‌کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بنابر گفته‌ شرکت امنیتی Fidelis، حمله‌ به DNS و خارج‌ کردن داده‌ها از شبکه از طریق DNS می‌تواند موفقیت‌آمیز باشد، زیرا DNS یک بخش جدایی‌ناپذیر زیرساخت اینترنت است. بیشتر تحلیلگران ترافیک به نحوه‌ استفاده از خود پروتکل DNS توجه نمی‌کنند درحالی‌که فرصتی برای دستگاه یک قربانی ایجاد می‌شود که اغلب حتی بدون ایجاد یک ارتباط ادامه‌دار با کارگزار دستور و کنترل عاملان بد ارتباط برقرار کند. این مسئله فقط جنبه‌ نظری ندارد، برخی از بدافزارها هنوز به همین روش‌ها از DNS استفاده می‌کنند، ازجمله‌ این بدافزارها WTimeRAT و تروجان Ismdoor هستند که به پویش Shamoon مرتبط هستند.

چند راه وجود دارد که مجرمان می‌توانند از DNS به‌عنوان یک کانال پوششی برای انتقال داده استفاده کنند. برای مثال، یک مهاجم می‌تواند کدی بنویسد که بتواند داده‌ DNS خاصی را که از یک میزبان آلوده خارج می‌شود، ردیابی و پیدا کند و درنتیجه هیچ نیازی به ارسال داده به یک دامنه‌ خاص نیست. این مهاجم تنها باید یک روش کدگذاری و یک روش برای به دست آوردن داده از مابقی ترافیک DNS انتخاب کند.

در مثال دیگری، مهاجم می‌تواند با ثبت یک دامنه و پیکربندی یک کارگزار DNS، سوابق دامنه‌های ثبت‌شده‌ دریافتی‌ را نگهداری کند.

پژوهشگران در یک پست وبلاگی گفتند: «هربار که قربانی (یا هر فردی در اینترنت) یک پرس‌وجوی زیردامنه برای یک میزبان متعلق به دامنه‌ ثبت‌شده ارسال می‌کند، این پرس‌وجو درنهایت به کارگزار DNS مهاجم تحویل داده‌می‌شود. داده‌ ارسال‌شده از کارخواه (دستگاه آلوده) به‌صورت سلسله‌مراتبی از طریق DNS انتقال داده‌می‌شود و هیچ اتصال مستقیمی بین آن و کارگزار دستور و کنترل ایجاد نمی‌شود. به‌طور خلاصه، DNS به‌عنوان یک پروکسی بین بات و اپراتور آن مورد استفاده قرار می‌گیرد.

در‌صورتی‌که اپراتور بر تعداد غیرعادی درخواست‌های ایجاد‌شده در مدت‌زمان کوتاه نظارت داشته‌باشد، می‌تواند داده‌ انتقالی DNS را به‌دست آورد. با این حال، پژوهشگران Fidelis خاطرنشان کردند که یک مهاجم دقیق به‌راحتی می‌تواند کار خود را با سرعت بخشیدن به نرخ درخواست‌ها انجام دهد.

پژوهشگران گفتند: «این کار برای Data Exfiltration بزرگ خیلی طولانی‌تر خواهدبود و به سختی عملی می‌شود، اما برای عملیات دستور و کنترل کاملاً امکان‌پذیر است.»
مرجع : وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات