Главная страница » MITRE ATT&CK
0
4 часа
MITRE ATT&CK

MITRE ATT&CK T1071.004 - Протокол прикладного уровня: DNS

MITRE ATT&CK

Злоумышленники используют DNS не только для туннелирования: они применяют такие методы, как DNS-over-HTTPS (DoH) для шифрованных обменов, DNS dribbling для медленной и скрытной связи, а также кодирование данных в DNS-трафике для смешивания вредоносной активности с обычным поведением сети. Эти методы позволяют злоумышленникам обходить традиционные меры безопасности, сохраняя надежные и скрытые каналы связи.

Протокол прикладного уровня: DNS

Например, бэкдор MadMxShell, о котором стало известно в апреле 2024 года, использует протокол DNS для скрытой связи C2, внедряя закодированные данные в запросы и ответы DNS MX. С помощью специальной 36-символьной таблицы поиска двоичные данные преобразуются в буквенно-цифровые строки субдоменов. Чтобы обойти ограничения на размер DNS, каждый DNS-пакет ограничивается 103 байтами, а более крупные сообщения разбиваются на последовательные пакеты, что обеспечивает соблюдение ограничений протокола DNS. Бэкдор работает с быстрыми трехсекундными интервалами между передачами, генерируя более шумный трафик, чем вредоносные программы на базе HTTP. В запросах и ответах используются структурированные сообщения, закодированные в субдоменах, где блоки субдоменов разделяются периодами. Такой подход позволяет вредоносному ПО имитировать легитимную деятельность DNS, смешиваясь с обычным трафиком и ускользая от обнаружения.

В другом случае, выявленном в декабре 2024 года, исследователи обнаружили, что вредоносная программа GammaLoad использует сложные DNS-технологии для маскировки и поддержания связи с C2. Вредоносная программа использует DNS-over-HTTPS для разрешения инфраструктуры C2, обеспечивая зашифрованную и скрытую связь, когда традиционные методы разрешения DNS заблокированы или не работают. Кроме того, в ней реализована техника DNS fast-fluxing, динамически меняющая DNS-записи для своих C2-серверов, чтобы избежать слежки и сбоев.

Эти методы позволяют вредоносной программе поддерживать постоянную и скрытую связь со своей инфраструктурой C2, обходя обычные меры сетевой безопасности, предназначенные для обнаружения и блокирования вредоносного трафика.

Комментарии: 0
Похожие записи
0
4 часа
MITRE ATT&CK

MITRE ATT&CK T1071.005 - Протокол прикладного уровня: Протоколы публикации/подписки

MITRE ATT&CK
Злоумышленники используют протоколы публикации/подписки, такие как MQTT, XMPP и AMQP, для создания скрытых каналов связи со взломанными системами. Встраивая вредоносные команды или данные в легитимный
0
1 день
MITRE ATT&CK

MITRE ATT&CK T1071.003 - Протокол прикладного уровня: Почтовые протоколы

MITRE ATT&CK
Злоумышленники все чаще используют для связи C2 такие протоколы электронной почты, как SMTP, IMAP и POP3. Эти протоколы, являющиеся неотъемлемой частью отправки и получения электронной почты, используются
0
1 день
MITRE ATT&CK

MITRE ATT&CK T1071.002 - Протокол прикладного уровня: Протоколы передачи файлов

MITRE ATT&CK
Злоумышленники используют протоколы передачи файлов, такие как SMB, FTP, FTPS и TFTP, для вредоносной деятельности, смешивая их сообщения с обычным сетевым трафиком, что затрудняет обнаружение.
0
1 день
MITRE ATT&CK

MITRE ATT&CK T1071.001 - Протокол прикладного уровня: Веб-протоколы

MITRE ATT&CK
Злоумышленники используют протоколы HTTP, HTTPS и WebSocket для операций командования и управления (C2) благодаря их широкому распространению и способности органично сочетаться с легитимным веб-трафиком.