نویسندگان بدافزار در روش جدیدی با بهرهبرداری از پروتکل DNS ارتباطات خود را مخفی نگه میدارند و از شناسایی شدن جلوگیری میکنند.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
نویسندگان بدافزار در روش جدیدی با بهرهبرداری از پروتکل DNS ارتباطات خود را مخفی نگه میدارند و از شناسایی شدن جلوگیری میکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بنابر گفته شرکت امنیتی Fidelis، حمله به DNS و خارج کردن دادهها از شبکه از طریق DNS میتواند موفقیتآمیز باشد، زیرا DNS یک بخش جداییناپذیر زیرساخت اینترنت است. بیشتر تحلیلگران ترافیک به نحوه استفاده از خود پروتکل DNS توجه نمیکنند درحالیکه فرصتی برای دستگاه یک قربانی ایجاد میشود که اغلب حتی بدون ایجاد یک ارتباط ادامهدار با کارگزار دستور و کنترل عاملان بد ارتباط برقرار کند. این مسئله فقط جنبه نظری ندارد، برخی از بدافزارها هنوز به همین روشها از DNS استفاده میکنند، ازجمله این بدافزارها WTimeRAT و تروجان Ismdoor هستند که به پویش Shamoon مرتبط هستند.
چند راه وجود دارد که مجرمان میتوانند از DNS بهعنوان یک کانال پوششی برای انتقال داده استفاده کنند. برای مثال، یک مهاجم میتواند کدی بنویسد که بتواند داده DNS خاصی را که از یک میزبان آلوده خارج میشود، ردیابی و پیدا کند و درنتیجه هیچ نیازی به ارسال داده به یک دامنه خاص نیست. این مهاجم تنها باید یک روش کدگذاری و یک روش برای به دست آوردن داده از مابقی ترافیک DNS انتخاب کند.
در مثال دیگری، مهاجم میتواند با ثبت یک دامنه و پیکربندی یک کارگزار DNS، سوابق دامنههای ثبتشده دریافتی را نگهداری کند.
پژوهشگران در یک پست وبلاگی گفتند: «هربار که قربانی (یا هر فردی در اینترنت) یک پرسوجوی زیردامنه برای یک میزبان متعلق به دامنه ثبتشده ارسال میکند، این پرسوجو درنهایت به کارگزار DNS مهاجم تحویل دادهمیشود. داده ارسالشده از کارخواه (دستگاه آلوده) بهصورت سلسلهمراتبی از طریق DNS انتقال دادهمیشود و هیچ اتصال مستقیمی بین آن و کارگزار دستور و کنترل ایجاد نمیشود. بهطور خلاصه، DNS بهعنوان یک پروکسی بین بات و اپراتور آن مورد استفاده قرار میگیرد.
درصورتیکه اپراتور بر تعداد غیرعادی درخواستهای ایجادشده در مدتزمان کوتاه نظارت داشتهباشد، میتواند داده انتقالی DNS را بهدست آورد. با این حال، پژوهشگران Fidelis خاطرنشان کردند که یک مهاجم دقیق بهراحتی میتواند کار خود را با سرعت بخشیدن به نرخ درخواستها انجام دهد.
پژوهشگران گفتند: «این کار برای Data Exfiltration بزرگ خیلی طولانیتر خواهدبود و به سختی عملی میشود، اما برای عملیات دستور و کنترل کاملاً امکانپذیر است.»