DNS راه ارتباطی جدید بدافزارها

براساس مشاهدات کارشناسان امنیتی و پیش بینی آنان، تعداد بدافزارهایی که از طریق DNS دستورات و فرامین جدید از گردانندگان خود دریافت می کنند، رو به افزایش هستند. این درحالیست که اغلب شرکت ها و موسسات، ترافیک DNS شبکه خود را کنترل نمی کنند.

به گزارش افتانا، نویسندگان و گردانندگان بدافزارها برای کنترل و مدیریت کامپیوترهای آلوده شده به این بدافزارها، از کانال های ارتباطی مختلفی استفاده می کنند. از پودمان های ساده مانند TCP و HTTP گرفته تا پیام های Twitter و Facebook بکار گرفته می شود.

ولی در این روش ها، ابزارهای امنیتی مانند دیواره های آتش و سیستم های نفوذیاب، به راحتی ترافیک مربوط به بدافزارها را تشخیص داده و مسدود می کنند. ولی پودمان DNS فیلتر نمی شود و ترافیک آن توسط ابزارهای امنیتی تحت کنترل نیست.

وظیفه DNS کاملاً مشخص است و نقش مهمی در جریان یافتن اطلاعات در شبکه دارد. به همین خاطر، ترافیک پودمان DNS آزادانه می تواند حرکت کند. یک درخواست DNS از یک سرور DNS به سرور بعدی و بعدی منتقل می شود تا به سروری که نام دامنه (Domain) مورد نظر را مدیریت می کند، برسد.

کامپیوترهای آلوده حتی لازم نیست که به اینترنت دسترسی مستقیم داشته باشند. تا زمانی که کامپیوتر به یک سرور DNS محلی دسترسی دارد که درخواست ها را به اینترنت ارسال کرده و پاسخ دریافت می کند، کافی است تا ارتباط بین کامپیوتر آلوده و بدافزار نویس برقرار شود.

ثبت (log) تمام درخواست های DNS به یک سرور محلی چندان عملی نیست زیرا باعث افت شدید عملکرد شبکه می شود. ولی می توان از ابزارهایی برای نمونه برداری از ترافیک DNS استفاده کرد تا مورد تجزیه و تحلیل قرار گیرد. مدیران شبکه باید به دنبال درخواست (query) های بلند و یا حاوی نام های عجیب و داده های رمز شده، باشند.

درخواست های تکراری که هر چند دقیقه یکبار تکرار می شوند، می تواند علامتی برای سوءاستفاده از پودمان DNS جهت برقراری ارتباط بین کامپیوتر آلوده و مرکز فرماندهی بدافزار باشد. این کامپیوترها بطور مستمر با مرکز برای دریافت آخرین دستورات ارتباط برقرار می کنند.

ابزارهایی مانند DNScat نیز در اختیار مدیران شبکه است که بتوانند ترافیک DNS را تحت کنترل و مدیریت خود درآوردند. ولی شرکت های امنیتی نیز باید به دنبال ارائه ابزارهای پیشرفته تری برای مقابله با این روش ابداعی بدافزارنویسان باشند.