What is DNS Tunneling?

The Domain Name System (DNS) protocol is one of the most widely used and trusted protocols on the Internet. However, DNS tunneling attacks abuse this protocol to sneak malicious traffic past an organization’s defenses. By using malicious domains and DNS servers, an attacker can use DNS to evade network defenses and perform data exfiltration.

RICHIEDI UNA DEMO Guida all'acquisto NGFW

What is DNS Tunneling?

Che cos'è il DNS?

In parole povere, il DNS è l'elenco telefonico di Internet. Quando naviga in Internet, la maggior parte degli utenti preferisce digitare il dominio o l'URL del sito web che desidera visitare (come https://www.checkpoint.com). Tuttavia, i server e l'infrastruttura di Internet utilizzano gli indirizzi IP per identificare la destinazione del traffico e instradarlo.

 

Il DNS fornisce conversioni tra nomi di dominio e indirizzi IP. È organizzato come un sistema gerarchico con server per diversi sottodomini. Un visitatore del sito checkpoint.com chiederebbe a un .com server DNS per l'indirizzo IP del server DNS di checkpoint.com. Una seconda richiesta a questo server DNS fornirà quindi l'indirizzo IP del server che ospita la pagina web desiderata. L'utente è ora in grado di visitare il sito desiderato.

Come funziona il tunneling DNS?

Il DNS è uno dei protocolli fondamentali di Internet. Senza i servizi di ricerca che offre, sarebbe quasi impossibile trovare qualcosa su Internet. Per visitare un sito web, dovrebbe conoscere l'indirizzo IP esatto del server che lo ospita, il che è impossibile. Di conseguenza, il traffico DNS è uno dei più affidabili di Internet. Le organizzazioni consentono il passaggio attraverso il loro firewall (sia in entrata che in uscita) perché è necessario che i dipendenti interni visitino siti esterni e che gli utenti esterni trovino i loro siti web.

 

DNS tunneling takes advantage of this fact by using DNS requests to implement a command and control channel for malware. Inbound DNS traffic can carry commands to the malware, while outbound traffic can exfiltrate sensitive data or provide responses to the malware operator’s requests. This works because DNS is a very flexible protocol. There are very few restrictions on the data that a DNS request contains because it is designed to look for domain names of websites. Since almost anything can be a domain name, these fields can be used to carry sensitive information. These requests are designed to go to attacker-controlled DNS servers, ensuring that they can receive the requests and respond in the corresponding DNS replies.

 

DNS tunneling attacks are simple to perform, and numerous DNS tunneling toolkits exist. This makes it possible for even unsophisticated attackers to use this technique to sneak data past an organization’s network security solutions.

Rilevare gli attacchi di tunneling DNS

Il tunneling DNS comporta un abuso del protocollo DNS sottostante. Invece di utilizzare le richieste e le risposte DNS per eseguire ricerche legittime di indirizzi IP, il malware le utilizza per implementare un canale di comando e controllo con il suo gestore.

 

La flessibilità del DNS lo rende una buona scelta per l'esfiltrazione dei dati; tuttavia, ha i suoi limiti. Alcuni indicatori del tunneling DNS su una rete possono includere:

  • Richieste di dominio insolite: Il malware di tunneling DNS codifica i dati all'interno di un nome di dominio richiesto (come DATA_HERE.baddomain.com). L'ispezione dei nomi di dominio richiesti all'interno delle richieste DNS può consentire a un'organizzazione di distinguere il traffico legittimo dai tentativi di tunneling DNS.
  • Richieste per domini insoliti: Il tunneling DNS funziona solo se l'attaccante possiede il dominio di destinazione, in modo che le richieste DNS vadano al suo server DNS. Se un'organizzazione registra un'improvvisa impennata di richieste per un dominio insolito, potrebbe indicare un tunneling DNS, soprattutto se il dominio è stato creato di recente.
  • Elevato volume di traffico DNS: Il nome del dominio all'interno di una richiesta DNS ha una dimensione massima (253 caratteri). Ciò significa che un aggressore avrà probabilmente bisogno di un gran numero di richieste DNS dannose per eseguire l'esfiltrazione dei dati o implementare un protocollo di comando e controllo altamente interattivo. Il conseguente picco di traffico DNS può essere un indicatore di tunneling DNS.

 

Tutti questi fattori possono essere benigni di per sé. Tuttavia, se un'organizzazione riscontra diverse o tutte queste anomalie, potrebbe essere un'indicazione che il malware di tunneling DNS è presente e attivo all'interno della rete.

Come proteggersi dal tunneling DNS

La protezione contro il tunneling DNS richiede un sistema di rete avanzato threat prevention in grado di rilevare e bloccare questo tentativo di esfiltrazione dei dati. Un sistema di questo tipo deve eseguire l'ispezione del traffico di rete e avere accesso a un robusto threat intelligence per supportare l'identificazione del traffico diretto verso domini dannosi e dei contenuti dannosi che possono essere incorporati nel traffico DNS.

 

I sistemi Check Point Next Generation Firewall (NGFW) offrono funzionalità di rilevamento delle minacce e di sicurezza di rete leader nel settore. Per saperne di più sulle soluzioni di Check Point e su come possono migliorare la sicurezza della rete della sua organizzazione, ci contatti. Può anche  richiedere una dimostrazione per vedere i NGFW di Check Point in azione.

×
  Feedback
Questo sito Web utilizza i cookie per motivi funzionali e a scopo di analisi e marketing. Continuando a utilizzare il sito Web, accetti implicitamente l'uso dei cookie. Per ulteriori informazioni, si prega di leggere la nostra Informativa sui cookie.
OK