Экстракция данных через DNS: новая киберугроза

Краткое содержание

В недавнем отчете описывается сложный метод кибератаки, известный как экстракция данных через DNS. Эта техника позволяет злоумышленникам обходить обычные межсетевые экраны безопасности, кодируя и передавая украденные данные через Систему доменных имен (DNS).

Метод использует фундаментальный интернет-протокол, которому часто доверяют и оставляют без внимания команды сетевой безопасности. Встраивая конфиденциальную информацию в DNS-запросы, злоумышленники могут скрытно извлекать данные из скомпрометированных сетей без срабатывания тревоги. Это событие представляет значительную угрозу для корпоративных и государственных структур, поскольку подрывает основной компонент стека защиты кибербезопасности.

Отчет подчеркивает острую необходимость для организаций улучшить возможности мониторинга DNS и принять модель безопасности с нулевым доверием для смягчения этого риска. Понимание механики этой атаки — первый шаг к построению более устойчивой стратегии защиты.

Понимание DNS-экстракции

DNS-резолвинг — это фундаментальный процесс интернета, преобразующий читаемые человеком доменные имена в IP-адреса. Каждый раз, когда пользователь посещает веб-сайт или подключается к серверу, отправляется DNS-запрос. Этот процесс необходим для функционирования сети, но редко проверяется на наличие вредоносного контента. Злоумышленники определили это как критическую «слепую зону» во многих архитектурах безопасности.

Техника экстракции данных через DNS включает кодирование конфиденциальной информации — такой как учетные данные для входа, собственнические данные или персональная информация (PII) — в поддомен DNS-запроса. Например, вместо стандартного запроса для www.example.com, злоумышленник может отправить запрос для Zm9yYmVzLXBhc3N3b3Jk.example.com, где первая часть строки — это закодированный пароль в Base64. Затем этот запрос отправляется домену, контролируемому злоумышленником, который может декодировать информацию при получении.

Поскольку большинство организаций позволяют исходящему DNS-трафику свободно уходить в интернет, этот метод чрезвычайно эффективен. Традиционные межсетевые экраны и системы обнаружения вторжений (IDS) часто разрешают DNS-трафик без глубокой инспекции пакетов, предполагая, что он безопасен. Это позволяет экстракции происходить незаметно, что делает ее особенно скрытной и опасной формой атаки.

Механика атаки

Атака обычно начинается с первоначального скомпрометирования, когда вредоносное ПО внедряется в целевую сеть. Это может произойти через фишинговые письма, вредоносные загрузки или использование уязвимостей в программном обеспечении. Как только вредоносное ПО активно в системе, оно устанавливает соединение с сервером команд и управления (C2), принадлежащим злоумышленнику.

Затем вредоносное ПО идентифицирует и собирает необходимые данные. Чтобы извлечь их, вредоносное ПО разбивает данные на небольшие блоки. Каждый блок кодируется, часто с использованием кодировки Base64, чтобы гарантировать, что он является допустимой строкой символов для доменного имени. Эти закодированные блоки затем помещаются в DNS-запросы, направленные на домен злоумышленника.

Авторитетный сервер имен злоумышленника регистрирует все входящие DNS-запросы. Анализируя часть поддомена этих запросов, злоумышленник может восстановить исходные блоки данных и собрать украденную информацию. Этот процесс может быть медленным, чтобы избежать обнаружения, но он чрезвычайно надежен и его трудно заблокировать, не нарушив легитимную работу сети.

Последствия для кибербезопасности

Этот метод экстракции данных представляет собой значительную эволюцию в стратегиях кибератак. Он заставляет изменить подход к сетевой безопасности. Давнее предположение о том, что DNS-трафик безопасен, больше не действительно, и теперь команды безопасности должны рассматривать весь исходящий трафик как потенциально враждебный.

Последствия широки:

• Повышенный риск утечек данных: Конфиденциальные корпоративные и клиентские данные могут быть украдены без срабатывания каких-либо предупреждений безопасности, что приводит к масштабным утечкам данных.
• Сложность атрибуции: Поскольку данные передаются через стандартный протокол, их трудно отличить от легитимного трафика, что затрудняет отслеживание атаки до ее источника.
• Необходимость в продвинутом мониторинге: Стандартных инструментов безопасности недостаточно. Организациям необходимо внедрять специализированные решения для мониторинга и анализа DNS, которые могут обнаруживать аномалии и паттерны, указывающие на экстракцию.

В конечном счете, эта техника подчеркивает важность защиты в глубину. Полагаться на один слой защиты, такой как межсетевой экран, недостаточно. Многоуровневый подход, включающий обнаружение на конечных точках, анализ сетевого трафика и надежную безопасность DNS, необходим для защиты от современных угроз.

Стратегии смягчения последствий

Организации могут предпринять несколько превентивных шагов для защиты от DNS-экстракции данных. Основная цель — получить видимость и контроль над DNS-трафиком, покидающим сеть. Это требует сочетания изменений в политике, технологических решений и постоянного мониторинга.

Ключевые стратегии смягчения последствий включают:

1. Внедрение фильтрации DNS: Используйте DNS-межсетевой экран или сервис фильтрации для блокировки запросов к известным вредоносным доменам и недавно зарегистрированным доменам, которые часто используются для атак.
2. Мониторинг журналов DNS-запросов: Активно анализируйте журналы DNS на предмет подозрительных паттернов, таких как необычно длинные доменные имена, большое количество запросов к одному домену или использование нестандартных типов записей.
3. Использование DNS over HTTPS (DoH) с осторожностью: Хотя DoH повышает конфиденциальность, вредоносное ПО также может использовать его для обхода мониторинга DNS на уровне сети. Организациям следует рассмотреть возможность контроля или отключения DoH на корпоративных устройствах, чтобы гарантировать видимость всего DNS-трафика.
4. Развертывание обнаружения и реагирования на конечных точках (EDR): Решения EDR могут обнаруживать вредоносные процессы на конечных точках, инициирующие подозрительные DNS-запросы, обеспечивая дополнительный слой защиты.

Приняв эти меры, организации могут значительно сократить поверхность атаки и улучшить способность обнаруживать и реагировать на эту скрытую технику экстракции. Постоянная бдительность и адаптация являются ключевыми факторами в постоянно меняющемся ландшафте угроз кибербезопасности.