امروز: یکشنبه، 30 اردیبهشت 1397

نویسندگان بدافزار از روش جدیدی استفاده می کنند تا ارتباطات خود را مخفی نگه دارند و از شناسایی شدن جلوگیری کنند، در واقع از پروتکل DNS سوء‌استفاده می‌کنند.

  


بنا به گفته‌ی شرکت امنیتیFidelis ، حمله‌ به DNS و خارج‌ کردن داده‌ها از شبکه از طریق DNS می‌تواند موفقیت‌آمیز باشد، زیرا DNS یک بخش جدایی‌ناپذیر زیرساخت اینترنت است. بیشتر تحلیل‌گران ترافیک به نحوه‌ی استفاده از خود پروتکل DNS توجه نمی‌کنند، در حالی که فرصتی برای دستگاه یک قربانی ایجاد می‌شود که اغلب حتی بدون ایجاد یک ارتباط ادامه‌دار، با کارگزار دستور و کنترل عاملان بد ارتباط برقرار کند. این مسأله فقط جنبه‌ی نظری ندارد، برخی از بدافزارها هنوز به همین روش‌ها از DNS استفاده می‌کنند، از جمله‌ی این بدافزارها WTimeRAT و تروجان Ismdoor هستند که به پویش Shamoon مرتبط هستند.

چند راه وجود دارد که مجرمان می‌توانند از DNS به عنوان یک کانال پوششی برای انتقال داده استفاده کنند. برای مثال، یک مهاجم می‌تواند کدی بنویسد که بتواند داده‌ی DNS خاصی را که از یک میزبان آلوده خارج می‌شود، ردیابی و پیدا کند و درنتیجه هیچ نیازی به ارسال داده به یک دامنه‌ی خاص نیست. این مهاجم تنها باید یک روش کدگذاری و یک روش برای به دست آوردن داده از مابقی ترافیک DNS انتخاب کند.

 

در مثال دیگری، مهاجم می‌تواند یک دامنه ثبت کند و یک کارگزار DNS را پیکربندی کند و در نتیجه سوابق دامنه‌های ثبت‌شده‌ای را که دریافت می‌کند، نگه‌داری کند.

پژوهش‌گران در یک پست وبلاگی گفتند: «هر بار که قربانی (یا هر کسی در اینترنت) یک پرس‌وجوی زیردامنه برای یک میزبان متعلق به دامنه‌ی ثبت‌شده ارسال می‌کند، این پرس‌وجو در نهایت به کارگزار DNS مهاجم تحویل داده می‌شود. داده‌ی ارسال‌شده از کارخواه (دستگاه آلوده) به صورت سلسله‌مراتبی از طریق DNS انتقال داده می‌شود و هیچ اتصال مستقیمی بین آن و کارگزار دستور  و کنترل ایجاد نمی‌شود. به طور خلاصه، DNS به عنوان یک پروکسی بین بات و اپراتور آن مورد استفاده قرار می‌گیرد.

در صورتی که اپراتور بر تعداد غیرعادی درخواست‌های ایجاد شده در مدت زمان کوتاه نظارت داشته باشد، می‌تواند داده‌ی انتقالی DNS را به دست آورد. با این حال، پژوهش‌گران Fidelis خاطرنشان کردند که یک مهاجم دقیق، به راحتی می‌تواند با سرعت بخشیدن به نرخ درخواست‌ها کار خود را انجام دهد.

پژوهش‌گران گفتند: «البته، برای Data Exfiltration بزرگ این کار خیلی طولانی‌تر خواهد بود و به سختی عملی می‌شود، اما برای عملیات دستور و کنترل کاملاً امکان‌پذیر است.»


منبع: news.asis.io