Злоумышленники используют DNS не только для туннелирования: они применяют такие методы, как DNS-over-HTTPS (DoH) для шифрованных обменов, DNS dribbling для медленной и скрытной связи, а также кодирование данных в DNS-трафике для смешивания вредоносной активности с обычным поведением сети. Эти методы позволяют злоумышленникам обходить традиционные меры безопасности, сохраняя надежные и скрытые каналы связи.
Протокол прикладного уровня: DNS
Например, бэкдор MadMxShell, о котором стало известно в апреле 2024 года, использует протокол DNS для скрытой связи C2, внедряя закодированные данные в запросы и ответы DNS MX. С помощью специальной 36-символьной таблицы поиска двоичные данные преобразуются в буквенно-цифровые строки субдоменов. Чтобы обойти ограничения на размер DNS, каждый DNS-пакет ограничивается 103 байтами, а более крупные сообщения разбиваются на последовательные пакеты, что обеспечивает соблюдение ограничений протокола DNS. Бэкдор работает с быстрыми трехсекундными интервалами между передачами, генерируя более шумный трафик, чем вредоносные программы на базе HTTP. В запросах и ответах используются структурированные сообщения, закодированные в субдоменах, где блоки субдоменов разделяются периодами. Такой подход позволяет вредоносному ПО имитировать легитимную деятельность DNS, смешиваясь с обычным трафиком и ускользая от обнаружения.
В другом случае, выявленном в декабре 2024 года, исследователи обнаружили, что вредоносная программа GammaLoad использует сложные DNS-технологии для маскировки и поддержания связи с C2. Вредоносная программа использует DNS-over-HTTPS для разрешения инфраструктуры C2, обеспечивая зашифрованную и скрытую связь, когда традиционные методы разрешения DNS заблокированы или не работают. Кроме того, в ней реализована техника DNS fast-fluxing, динамически меняющая DNS-записи для своих C2-серверов, чтобы избежать слежки и сбоев.
Эти методы позволяют вредоносной программе поддерживать постоянную и скрытую связь со своей инфраструктурой C2, обходя обычные меры сетевой безопасности, предназначенные для обнаружения и блокирования вредоносного трафика.