DNS Exfil

L'exfiltration DNS est une technique sophistiquée utilisée par les attaquants pour voler des données de réseaux compromis en encodant des informations dans les requêtes DNS. Parce que le trafic DNS est essentiel au fonctionnement normal du réseau et est rarement bloqué par les pare-feu, il fournit un canal dissimulé idéal pour l'exfiltration de données. Comprendre l'exfiltration DNS est crucial pour les professionnels de la sécurité réseau, les intervenants en cas d'incident et les chasseurs de menaces qui doivent détecter et prévenir ces attaques furtives.

Comment fonctionne l'exfiltration DNS

Lors d'une attaque d'exfiltration DNS, l'attaquant encode les données volées (identifiants, fichiers, contenus de bases de données) dans la partie sous-domaine des requêtes DNS. Par exemple, la donnée encodée "aGVsbG8=" pourrait être envoyée comme requête pour aGVsbG8.attacker-domain.com. Le serveur DNS autoritaire de l'attaquant reçoit ces requêtes et extrait les données encodées des labels de sous-domaine. Puisque chaque label DNS peut contenir jusqu'à 63 caractères et qu'un nom de domaine complet peut faire 253 caractères, des quantités significatives de données peuvent être exfiltrées en les répartissant sur plusieurs requêtes.

Détection et analyse

Détecter l'exfiltration DNS nécessite d'analyser les schémas du trafic DNS pour détecter des anomalies. Les indicateurs clés incluent des noms de sous-domaines inhabituellement longs, des volumes élevés de requêtes vers un seul domaine, des requêtes contenant des chaînes encodées en Base64 ou hexadécimal, et des domaines avec des labels de sous-domaine à haute entropie. Les analystes réseau utilisent des outils de capture de paquets comme Wireshark et tcpdump ainsi que des outils d'analyse spécifiques au DNS pour examiner les schémas de requêtes. Les fichiers PCAP contenant du trafic DNS fournissent un enregistrement médico-légal que les analystes peuvent investiguer après une violation suspectée.

Paysage des menaces réelles

L'exfiltration DNS est utilisée par les groupes de menaces persistantes avancées (APT), les opérateurs de ransomware et les menaces internes. Des familles de malware notables comme DNSMessenger, FrameworkPOS et divers kits d'outils APT ont intégré le tunneling DNS pour la communication de commande et contrôle et le vol de données. Les organisations se défendent contre l'exfiltration DNS en implémentant la surveillance DNS, en restreignant les résolveurs DNS, en utilisant les extensions de sécurité DNS (DNSSEC), et en déployant des pare-feu DNS qui analysent le contenu des requêtes pour détecter des schémas suspects.