Les auteurs de menaces utilisent le tunneling DNS (Domain Name System) pour savoir quand leurs cibles ouvrent des e-mails de phishing et cliquent sur des liens malveillants, et pour analyser les réseaux à la recherche de vulnérabilités potentielles.

Le tunneling DNS est l’encodage de données ou de commandes envoyées et récupérées via des requêtes DNS, transformant essentiellement le DNS, un composant fondamental de la communication réseau, en un canal de communication secret.

Les auteurs de menaces encodent les données de différentes manières, telles que Base16 ou Base64 ou des algorithmes de codage textuel personnalisés, afin qu’elles puissent être renvoyées lors de l’interrogation d’enregistrements DNS, tels que TXT, MX, CNAME et des enregistrements d’adresses.

Les pirates informatiques utilisent couramment le tunneling DNS pour contourner les pare-feu et les filtres du réseau, en utilisant la technique de commande et de contrôle (C2) et les opérations de réseau privé virtuel (VPN). Il existe également des applications légitimes de tunneling DNS, par exemple pour contourner la censure.

Exfiltration et injection de données via tunneling DNS

L’équipe de recherche sur la sécurité de l’unité 42 de Palo Alto Networks a récemment découvert une utilisation supplémentaire du tunneling DNS dans des campagnes malveillantes impliquant le suivi des victimes et l’analyse du réseau.

Campagne du RCDRC
La première campagne, suivie sous le nom de « TrkCdn », se concentre sur le suivi des interactions des victimes avec le contenu des e-mails de phishing.

Les attaquants incorporent du contenu dans un e-mail qui, lorsqu’il est ouvert, effectue une requête DNS vers des sous-domaines contrôlés par l’attaquant dont le nom de domaine complet contient du contenu codé.

Par exemple, il s’agit de 4e09ef9806fb9af448a5efcd60395815.trac.simiteur[.] com. avec 4e09ef9806fb9af448a5efcd60395815 étant le hachage md5 de l’unité 42 @ pas un domaine réel[.] com, qui se résout en un CNAME vers un serveur de noms principal faisant autorité.

« Par conséquent, même si les noms de domaine complets varient selon les cibles, ils sont tous transférés vers la même adresse IP utilisée par le cdn.simiteur[.] com », expliquent les chercheurs.

« Ce serveur de noms faisant autorité renvoie ensuite un résultat DNS qui mène à un serveur contrôlé par l’attaquant qui fournit un contenu contrôlé par l’attaquant. Ce contenu peut inclure des publicités, du spam ou du contenu d’hameçonnage.

Cette approche permet aux attaquants d’évaluer leurs stratégies, de les affiner et de confirmer la livraison de charges utiles malveillantes à leurs victimes.

Cycle de vie des domaines utilisés dans les opérations TrkCdn

Le rapport de l’Unité 42 met également en évidence une campagne similaire qui utilise le tunneling DNS pour suivre la livraison des messages de spam, surnommée « SpamTracker ». »

La campagne SecShow
La deuxième campagne repérée par les analystes, baptisée « SecShow », utilise le tunneling DNS pour analyser les infrastructures réseau.

Les attaquants intègrent des adresses IP et des horodatages dans des requêtes DNS pour cartographier les dispositions du réseau et découvrir des failles de configuration potentielles qui peuvent être exploitées pour l’infiltration, le vol de données ou le déni de service.

Les requêtes DNS utilisées dans cette campagne ont été répétées périodiquement pour permettre la collecte de données en temps réel, détecter les changements d’état et tester la réponse des différentes parties du réseau aux requêtes DNS non sollicitées.

Les auteurs de menaces optent pour le tunneling DNS plutôt que pour des méthodes plus traditionnelles telles que les pixels de suivi et les outils d’analyse réseau réguliers pour plusieurs raisons, notamment la possibilité de contourner les outils de sécurité, d’éviter la détection et de maintenir une polyvalence opérationnelle.

L’unité 42 propose que les organisations mettent en œuvre des outils de surveillance et d’analyse DNS pour surveiller et analyser les journaux à la recherche de modèles de trafic inhabituels et d’anomalies, telles que des demandes atypiques ou à volume élevé.

De plus, il est conseillé de limiter les résolveurs DNS du réseau pour qu’ils ne traitent que les requêtes nécessaires, réduisant ainsi le potentiel d’utilisation abusive du tunneling DNS.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *