Palo Alto
Networks 警告称,据观察,攻击者使用 DNS 隧道来跟踪垃圾邮件的传递和受害者与恶意域的交互,以及扫描受害者的网络。
DNS
隧道是一种隐蔽的通信方法,使用了大约二十年,允许攻击者使用客户端-服务器模型在受害者网络之间传输恶意软件和数据。
作为 DNS
隧道攻击的一部分,攻击者会使用指向运行隧道恶意软件的攻击者服务器的名称服务器注册一个域。
然后,攻击者用恶意软件感染计算机,并使用对
DNS 解析器的请求连接到攻击者控制的服务器,并通过解析器建立 DNS 隧道,绕过传统网络防火墙并且不被发现,因为组织通常不监控 DNS 流量。
通过 DNS
隧道进行数据泄露和渗透
通常,攻击者将
DNS 隧道用于命令与控制 (C&C) 通信和虚拟专用网络 (VPN) 目的,但最近的三项活动表明,它也可用于活动跟踪和网络扫描。
为了进行跟踪,攻击者使用恶意软件,将用户信息及其操作详细信息嵌入到
DNS 查询的唯一子域中,该子域充当隧道有效负载。
DNS
查询被发送到存储攻击者控制的名称服务器,允许攻击者使用唯一的子域和时间戳作为受害者活动的日志。
TrkCdn活动已针对
700 多名受害者,并使用 75 个 IP 地址解析 658 个域,作为该活动的一部分,攻击者可能会利用 DNS 隧道来跟踪受害者与恶意电子邮件的交互。
一旦受害者打开电子邮件或点击其中的链接,嵌入的内容就会生成
DNS 查询,该查询会转发到攻击者控制的名称服务器,该名称服务器会返回导致广告、垃圾邮件或网络钓鱼的 DNS 结果。
“出于跟踪目的,攻击者可以从其权威域名服务器查询
DNS
日志,并将有效负载与电子邮件地址的哈希值进行比较。这样,攻击者就可以知道特定受害者何时打开他们的一封电子邮件或点击链接,并且他们可以监控活动的表现。”Palo
Alto Networks 解释道。
攻击者会在将此次活动中使用的域名分发给目标受害者之前两到
12 周注册,并将继续监视行为 9 到 11 个月。他们通常会在一年后停用这些域名。
据 Palo
Alto Networks 称,攻击者在 2020 年 10 月至 2024 年 1 月期间为此活动注册了新域名。
第二个活动被称为SpamTracker,它采用了类似的技术来跟踪垃圾邮件传递,Palo
Alto Networks 已识别出 44 个与其相关的域。
第三个活动名为SecShow,它一直依靠
DNS 隧道来扫描网络中的漏洞,然后执行反射攻击。
Palo Alto
Networks 观察到攻击者扫描开放解析器、测试解析器延迟、利用解析器中的安全缺陷以及收集生存时间 (TTL) 信息。
“该活动通常针对开放解析器。因此,我们发现受害者主要来自教育、高科技和政府领域,这些领域普遍存在开放解析器。该活动包含三个域,利用各个子域来实现不同的网络扫描。”Palo
Alto Networks 表示。
为了减轻与 DNS
隧道相关的风险,建议组织阻止解析器接受不必要的查询,并确保其解析器运行最新的软件版本,以防止利用已知漏洞。
详细技术报告参考:https://unit42.paloaltonetworks.com/three-dns-tunneling-campaigns/
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/58570.html
