What is DNS Tunneling?

The Domain Name System (DNS) protocol is one of the most widely used and trusted protocols on the Internet. However, DNS tunneling attacks abuse this protocol to sneak malicious traffic past an organization’s defenses. By using malicious domains and DNS servers, an attacker can use DNS to evade network defenses and perform data exfiltration.

DEMO ANFORDERN NGFW-Käuferratgeber

What is DNS Tunneling?

Was ist DNS?

Einfach ausgedrückt ist DNS das Telefonverzeichnis des Internets. Beim Surfen im Internet geben die meisten Benutzer lieber die Domain oder URL der Website ein, die sie besuchen möchten (z. B. https://www.checkpoint.com). Allerdings verwenden die Server und die Infrastruktur des Internets IP-Adressen, um das Ziel des Datenverkehrs zu identifizieren und ihn dorthin weiterzuleiten.

 

DNS ermöglicht Konvertierungen zwischen Domänennamen und IP-Adressen. Es ist als hierarchisches System mit Servern für verschiedene Subdomänen organisiert. Ein Besucher der Website checkpoint.com würde nach einem .com fragen DNS-Server für die IP-Adresse des checkpoint.com-DNS-Servers. Eine zweite Anfrage an diesen DNS-Server würde dann die IP-Adresse des Servers bereitstellen, der die gewünschte Webseite hostet. Der Benutzer kann nun die gewünschte Website besuchen.

Wie funktioniert DNS-Tunneling?

DNS ist eines der grundlegenden Protokolle des Internets. Ohne die angebotenen Suchdienste wäre es nahezu unmöglich, etwas im Internet zu finden. Um eine Website zu besuchen, müssten Sie die genaue IP-Adresse des Servers kennen, der sie hostet, was unmöglich ist. Daher gehört der DNS-Verkehr zu den vertrauenswürdigsten Datenverkehren im Internet. Unternehmen lassen es durch ihre Firewall passieren (sowohl ein- als auch ausgehend), da es für ihre internen Mitarbeiter erforderlich ist, externe Websites zu besuchen, und für externe Benutzer, um ihre Websites zu finden.

 

DNS tunneling takes advantage of this fact by using DNS requests to implement a command and control channel for malware. Inbound DNS traffic can carry commands to the malware, while outbound traffic can exfiltrate sensitive data or provide responses to the malware operator’s requests. This works because DNS is a very flexible protocol. There are very few restrictions on the data that a DNS request contains because it is designed to look for domain names of websites. Since almost anything can be a domain name, these fields can be used to carry sensitive information. These requests are designed to go to attacker-controlled DNS servers, ensuring that they can receive the requests and respond in the corresponding DNS replies.

 

DNS tunneling attacks are simple to perform, and numerous DNS tunneling toolkits exist. This makes it possible for even unsophisticated attackers to use this technique to sneak data past an organization’s network security solutions.

Erkennen von DNS-Tunneling-Angriffen

Beim DNS-Tunneling wird das zugrunde liegende DNS-Protokoll missbraucht. Anstatt DNS-Anfragen und -Antworten zu verwenden, um legitime IP-Adresssuchen durchzuführen, nutzt Malware diese, um mit ihrem Handler einen Befehls- und Kontrollkanal zu implementieren.

 

Die Flexibilität von DNS macht es zu einer guten Wahl für die Datenexfiltration. Es hat jedoch seine Grenzen. Zu den Indikatoren für DNS-Tunneling in einem Netzwerk können gehören:

  • Ungewöhnliche Domänenanfragen: DNS-Tunneling-Malware kodiert Daten innerhalb eines angeforderten Domänennamens (wie DATA_HERE.baddomain.com). Durch die Überprüfung der angeforderten Domänennamen in DNS-Anfragen kann eine Organisation möglicherweise legitimen Datenverkehr von versuchtem DNS-Tunneling unterscheiden.
  • Anfragen für ungewöhnliche Domänen: DNS-Tunneling funktioniert nur, wenn der Angreifer Eigentümer der Zieldomäne ist, sodass DNS-Anfragen an seinen DNS-Server gehen. Wenn in einer Organisation ein plötzlicher Anstieg der Anfragen für eine ungewöhnliche Domäne auftritt, kann dies auf DNS-Tunneling hinweisen, insbesondere wenn diese Domäne erst kürzlich erstellt wurde.
  • Hohes DNS-Verkehrsvolumen: Der Domänenname innerhalb einer DNS-Anfrage hat eine maximale Größe (253 Zeichen). Das bedeutet, dass ein Angreifer wahrscheinlich eine große Anzahl böswilliger DNS-Anfragen benötigt, um Daten zu exfiltrieren oder ein hochgradig interaktives Befehls- und Kontrollprotokoll zu implementieren. Der daraus resultierende Anstieg des DNS-Verkehrs kann ein Hinweis auf DNS-Tunneling sein.

 

Alle diese Faktoren können für sich genommen harmlos sein. Wenn in einer Organisation jedoch mehrere oder alle dieser Anomalien auftreten, kann dies ein Hinweis darauf sein, dass DNS-Tunneling-Malware im Netzwerk vorhanden und aktiv ist.

So schützen Sie sich vor DNS-Tunneling

Der Schutz vor DNS-Tunneling erfordert ein fortschrittliches Netzwerk-Bedrohungspräventionssystem, das in der Lage ist, diese versuchte Datenexfiltration zu erkennen und zu blockieren. Ein solches System muss den Netzwerkverkehr prüfen und Zugriff auf robuste Bedrohungsinformationen haben, um die Identifizierung von Datenverkehr zu unterstützen, der an bösartige Domänen gerichtet ist, sowie von bösartigen Inhalten, die möglicherweise in den DNS-Verkehr eingebettet sind.

 

Die Firewall der nächsten Generation (NGFWs) von Check Point bieten branchenführende Bedrohungserkennungs- und Netzwerksicherheitsfunktionen. Um mehr über die Lösungen von Check Point zu erfahren und wie diese die Netzwerksicherheit Ihres Unternehmens verbessern können, kontaktieren Sie uns. Gerne können Sie auch  eine Vorführung anfordern, um Check Point NGFWs in Aktion zu sehen.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Durch die weitere Nutzung dieser Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Für weitere Informationen lesen Sie bitte unseren Hinweis zu Cookies.
OK