DNS-туннелирование становится инструментом хакеров для скрытого наблюдения и анализа сетей

Хакеры активизировали использование метода DNS-туннелирования для мониторинга и сканирования сетевых ресурсов. Этот способ позволяет злоумышленникам внедрять коды и команды непосредственно в DNS-запросы, что обеспечивает им возможность обходить традиционные сетевые барьеры и оставаться незаметными для обычных систем безопасности.

Туннелирование использует различные методы кодирования, включая Base16 и Base64, чтобы маскировать вредоносные данные как обычный DNS-трафик. Это затрудняет задачу антивирусных программ и средств обнаружения угроз, которые обычно сканируют текст на предмет подозрительных последовательностей.

Одной из ключевых опасностей данного метода является возможность отслеживания открытия фишинговых писем. Хакеры встраивают в эти письма элементы, инициирующие DNS-запросы к специально созданным поддоменам при их открытии. Это позволяет атакующим получать точные данные о времени и активности пользователей.

В последних отчетах исследовательской группы по безопасности Unit 42 подробно описаны кампании, использующие DNS-туннелирование. Например, кампания «TrkCdn» позволяет отслеживать взаимодействие с фишинговыми письмами, в то время как «SpamTracker» фокусируется на анализе распространения спама. Кампания «SecShow» выявляет уязвимости в сетевых конфигурациях, сканируя IP-адреса и временные метки, встроенные в DNS-запросы.

Для контроля и противодействия таким угрозам специалисты советуют компаниям использовать продвинутые системы анализа DNS-трафика. Это включает в себя отслеживание необычных паттернов запросов и управление доступом к DNS-резольверам, что позволяет значительно снизить возможности для злоупотреблений.