کمیته رکن چهارم – نویسندگان بدافزار از روش جدیدی استفاده می کنند تا ارتباطات خود را مخفی نگه دارند و از شناسایی شدن جلوگیری کنند، در واقع از پروتکل DNS سوءاستفاده میکنند.
بنا به گفتهی شرکت امنیتیFidelis ، حمله به DNS و خارج کردن دادهها از شبکه از طریق DNS میتواند موفقیتآمیز باشد، زیرا DNS یک بخش جداییناپذیر زیرساخت اینترنت است. بیشتر تحلیلگران ترافیک به نحوهی استفاده از خود پروتکل DNS توجه نمیکنند، در حالی که فرصتی برای دستگاه یک قربانی ایجاد میشود که اغلب حتی بدون ایجاد یک ارتباط ادامهدار، با کارگزار دستور و کنترل عاملان بد ارتباط برقرار کند. این مسأله فقط جنبهی نظری ندارد، برخی از بدافزارها هنوز به همین روشها از DNS استفاده میکنند، از جملهی این بدافزارها WTimeRAT و تروجان Ismdoor هستند که به پویش Shamoon مرتبط هستند.
چند راه وجود دارد که مجرمان میتوانند از DNS به عنوان یک کانال پوششی برای انتقال داده استفاده کنند. برای مثال، یک مهاجم میتواند کدی بنویسد که بتواند دادهی DNS خاصی را که از یک میزبان آلوده خارج میشود، ردیابی و پیدا کند و درنتیجه هیچ نیازی به ارسال داده به یک دامنهی خاص نیست. این مهاجم تنها باید یک روش کدگذاری و یک روش برای به دست آوردن داده از مابقی ترافیک DNS انتخاب کند.
در مثال دیگری، مهاجم میتواند یک دامنه ثبت کند و یک کارگزار DNS را پیکربندی کند و در نتیجه سوابق دامنههای ثبتشدهای را که دریافت میکند، نگهداری کند.
پژوهشگران در یک پست وبلاگی گفتند: «هر بار که قربانی (یا هر کسی در اینترنت) یک پرسوجوی زیردامنه برای یک میزبان متعلق به دامنهی ثبتشده ارسال میکند، این پرسوجو در نهایت به کارگزار DNS مهاجم تحویل داده میشود. دادهی ارسالشده از کارخواه (دستگاه آلوده) به صورت سلسلهمراتبی از طریق DNS انتقال داده میشود و هیچ اتصال مستقیمی بین آن و کارگزار دستور و کنترل ایجاد نمیشود. به طور خلاصه، DNS به عنوان یک پروکسی بین بات و اپراتور آن مورد استفاده قرار میگیرد.
در صورتی که اپراتور بر تعداد غیرعادی درخواستهای ایجاد شده در مدت زمان کوتاه نظارت داشته باشد، میتواند دادهی انتقالی DNS را به دست آورد. با این حال، پژوهشگران Fidelis خاطرنشان کردند که یک مهاجم دقیق، به راحتی میتواند با سرعت بخشیدن به نرخ درخواستها کار خود را انجام دهد.
پژوهشگران گفتند: «البته، برای Data Exfiltration بزرگ این کار خیلی طولانیتر خواهد بود و به سختی عملی میشود، اما برای عملیات دستور و کنترل کاملاً امکانپذیر است.»
منبع : news.asis.io