Система доменных имен (DNS), которую часто называют «телефонной книгой интернета», стала новым полем битвы между киберзащитниками и злоумышленниками. Ежедневно через корпоративные файрволы проходят миллиарды DNS-запросов, причем большинство из них подвергается лишь поверхностной проверке. Эта фундаментальная уязвимость легла в основу опасной техники - DNS-туннелирования, позволяющей преступникам создавать скрытые каналы связи для управления вредоносными программами и кражи конфиденциальной информации. Эксперты Infoblox провели масштабное исследование этого феномена, выявив тревожные тенденции: в 2024 году атаки с использованием DNS-туннелей участились на 47%, а среднее время до обнаружения таких операций в традиционных системах безопасности превышает 72 часа.
Описание
Технология DNS-туннелирования основана на кодировании данных в поддоменах или DNS-записях. Например, безобидный на первый взгляд запрос вроде 757365726e616d653a20616e64792c2.070617373776f72643a2031323378797a6162632e.example[.]com после декодирования превращается в «username: andy, password: 123xyzabc». Ответ сервера в формате TXT-записи (например: ON2WI3ZAOJWSAL3FORRS643IMFSG65YK) может содержать команды для удаления системных файлов или загрузки дополнительных модулей вредоносного ПО. Особую опасность представляет использование разнообразных типов DNS-записей - A, AAAA, CNAME, MX - что усложняет обнаружение. Для создания инфраструктуры злоумышленнику достаточно контролировать авторитативный сервер имен домена, после чего зараженное устройство периодически отправляет запросы, маскируя под них передачу данных или получение инструкций.
Согласно данным Infoblox Threat Insight, наиболее распространенными инструментами для DNS-туннелирования стали Cobalt Strike (26% обнаруженных инцидентов), Iodine (24%), DNS Exfiltrator (15%) и DNSCat2 (13%). Каждый инструмент обладает уникальными сигнатурами: Cobalt Strike использует шестнадцатеричное кодирование с префиксами вроде «post» или «api», DNSCat2 применяет шифрование для TXT-записей, а Sliver специализируется на кросс-платформенных атаках. Интересно, что 7% атак связаны с инструментом Pupy, который ранее применялся в шпионских кампаниях против государственных структур. Особенностью 2024 года стало появление гибридных инструментов, сочетающих DNS-туннелирование с генерацией алгоритмических доменных имен (DGA), что ранее наблюдалось лишь у продвинутых APT-групп вроде SideWinder.
Прорывом в противодействии этой угрозе стали алгоритмы машинного обучения Infoblox, сократившие время обнаружения туннелей с 1-2 минут до 5 секунд. Система анализирует 14 параметров, включая энтропию поддоменов, частоту запросов и аномалии в длине записей. Например, легитимные антивирусные запросы типа *<домен>.<guid>.<avdomain>* распознаются по шаблонам, тогда как туннели вроде mf9q7qgqmy003024muqg4zlxebwgk5tfnrzsa33g.paioaltonetworks[.]tech блокируются до завершения «рукопожатия» - начальной фазы установления канала. Важно, что система дифференцирует тестовые запросы (например, от платформ Cymulate) и реальные атаки, избегая ложных срабатываний.
Ярким примером эффективности этой технологии стало недавнее обнаружение домена paioaltonetworks[.]tech. Анализ показал, что его запросы содержали закодированные команды, а серверы имен (*ns1.paioaltonetworks[.]tech*) принадлежали компании Efficient IP - конкуренту Infoblox в сфере управления DNS. Расследование выявило сеть из 15 связанных доменов, включая rockitwith[.]me и infobiox[.]com, причем часть из них имитировала названия известных кибербезопасных решений. Это указывает на новую тенденцию: использование «доменов-двойников» для маскировки туннелей, что отмечалось в 32% атак за последний квартал.
Угроза DNS-туннелирования перестала быть теоретической: только в первом полугодии 2024 года зафиксировано 12 000 инцидентов с утечкой данных через DNS. Как отметил ведущий аналитик Infoblox, «этот канал стал для злоумышленников идеальным инструментом - он есть в каждой сети, редко мониторится и позволяет обойти даже сегментированные периметры». В условиях, когда 67% компаний не применяют специализированную защиту DNS, риски масштабных компрометаций продолжают расти. Закрыть эту брешь возможно лишь через интеграцию DNS-безопасности в стратегию киберзащиты, сочетающую машинное обучение, грамотную политику резолвинга и постоянную адаптацию к новым тактикам противника.
Индикаторы компрометации
Domains
- ain.com
- dga.how
- dns-blast.com
- efficientip.at
- efficientip.com
- efficientip.io
- efficientip.it
- efficientip.net
- efficientip.org
- framatech.online
- hack53.shop
- infobiox.com
- melenchon.online
- Mf9q7qgqmy001024ivwxa33xmvzca6lpovzcasku.paioaltonetworks.tech
- Mf9q7qgqmy003024muqg4zlxebwgk5tfnrzsa33g.paioaltonetworks.tech
- Mf9q7qgqmy006024or3w64tlebugk4tpmvzs4icp.paioaltonetworks.tech
- nicecricket.online
- nicecricket.online
- ns1.paioaltonetworks.tech
- ns2.paioaltonetworks.tech
- onexlccsxclbd7ynu7htzqjpjf.domain.com
- paioaltonetworks.tech
- post.a34.cde343de.a1b2c3d4.domain.com
- redfusion.xyz
- rockitwith.me
- yqtk2acpkekqdgzj00q5dk4nzt4o0.domain.co
