DNS Tunneling ถูกใช้เพื่อซ่อนการสแกนช่องโหว่ และติดตามอีเมลฟิชชิ่ง

DNS Tunneling กำลังถูกใช้เพื่อหลีกเลี่ยงมาตรการด้านความปลอดภัย โดยการซ่อนการรับส่งข้อมูลที่เป็นอันตรายในแพ็กเก็ต DNS ทำให้แฮ็กเกอร์สามารถขโมยข้อมูลที่สำคัญ, ซ่อนมัลแวร์ หรือการเชื่อมต่อกับ command-and-control เซิร์ฟเวอร์ได้

Unit 42 ของ Palo Alto Networks พบว่ากลุ่มผู้โจมตีกำลังใช้เทคนิค DNS Tunneling นอกเหนือจากการสร้างช่องทางสื่อสารกับ command-and-control เซิร์ฟเวอร์ และ VPN เช่น การสแกนหาช่องโหว่บนเครือข่าย และการประเมินผลสำเร็จของแคมเปญฟิชชิ่ง

DNS Tunneling สำหรับการติดตามแคมเปญการโจมตี

ตามรายงาน ผู้โจมตีกำลังใช้ประโยชน์จากเทคนิค DNS Tunneling เพื่อติดตามพฤติกรรมของเหยื่อที่เกี่ยวข้องกับการสแปม, ฟิชชิ่ง หรือโฆษณาต่าง ๆ และส่งข้อมูลของเหยื่อกลับไปยังโดเมนที่เป็นอันตราย

ตัวอย่างเช่น ในการโจมตีด้วยฟิชชิ่ง เทคนิค DNS Tunneling ช่วยให้ผู้โจมตีแฝงการติดตามข้อมูลลงใน DNS requests ทำให้ผู้โจมตีสามารถสังเกตการมีส่วนร่วมของเหยื่อกับเนื้อหาฟิชชิ่งที่อยู่บน Content Delivery Networks (CDNs) เพื่อดูว่าอีเมลฟิชชิ่งสำเร็จหรือไม่

พฤติกรรมนี้ถูกพบในแคมเปญ TrkCdn ซึ่งมีเป้าหมายเป็นเหยื่อ 731 ราย โดยใช้ 75 IP Addresses สำหรับ nameservers และในแคมเปญ SpamTracker ซึ่งมีเป้าหมายเป็นสถาบันการศึกษาของญี่ปุ่น โดยใช้ 44 โดเมนสำหรับ tunneling ด้วย IP 35.75.233.210 ทั้งสองแคมเปญใช้วิธีการสร้างชื่อโดเมน และการเข้ารหัสเป็นซับโดเมนแบบเดียวกัน

ผู้โจมตีใช้ประโยชน์จาก DNS logs เพื่อติดตามอีเมลของเหยื่อ และตรวจสอบผลการดำเนินการของแคมเปญ โดยมีการลงทะเบียนโดเมนใหม่ระหว่างเดือนตุลาคม 2020 และมกราคม 2024 ก่อนการเริ่มการโจมตี 2 ถึง 12 สัปดาห์ และทำการติดตามพฤติกรรมเป็นเวลา 9 ถึง 11 เดือน และยกเลิกหลังจากใช้งานมาหนึ่งปี

DNS Tunneling สำหรับการสแกนช่องโหว่

ผู้โจมตีสามารถใช้ DNS Tunneling เพื่อสแกนโครงสร้างพื้นฐานของเครือข่ายโดยการเข้ารหัส IP addresses และเวลาในการรับส่งข้อมูลผ่านทาง tunneling พร้อมกับการ spoofed IP addresses เพื่อค้นหา DNS resolvers ที่เปิดอยู่, ใช้ประโยชน์จากช่องโหว่ของตัว DNS resolver และดำเนินการโจมตีไปยัง DNS นั้น ๆ ซึ่งอาจนำไปสู่การเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นอันตราย หรือการโจมตีแบบ Denial of Service (DoS)

วิธีการนี้ถูกพบในแคมเปญ "SecShow" ที่ผู้โจมตีสแกนโครงสร้างพื้นฐานของเครือข่ายเหยื่ออย่างต่อเนื่อง และดำเนินการโจมตีแบบ reflection attacks

นักวิจัยจาก Unit 42 ระบุว่า "โดยทั่วไปแล้ว แคมเปญนี้จะเน้นเป้าหมายไปที่ DNS resolver ที่เปิดอยู่ ดังนั้นจึงพบว่าเหยื่อส่วนใหญ่มาจากสถาบันการศึกษา, บริษัทเทคโนโลยี และหน่วยงานภาครัฐ ซึ่งเป็นที่ที่มักพบ DNS resolver เปิดใช้งานอยู่"

นอกจากนี้ ผู้โจมตีสามารถใช้เทคนิคเดียวกันนี้เพื่อติดตามเหยื่อหลายรายได้ และกำลังใช้ประโยชน์จาก DNS queries เพื่อตรวจหา configurations ที่ผิดพลาดในองค์กรเป้าหมาย ซึ่งอาจถูกนำไปใช้ในการโจมตีแบบ Denial of Service (DoS), ขโมยข้อมูล หรือติดตั้งมัลแวร์ได้

เพื่อป้องกันการโจมตี ควรมีการใช้งานซอฟต์แวร์ด้านความปลอดภัยที่สามารถตรวจจับรูปแบบ DNS traffic ที่ผิดปกติ และอัปเดตระบบปฏิบัติการ และแอปพลิเคชันอย่างสม่ำเสมอเพื่อแก้ไขช่องโหว่ และระมัดระวังการคลิกลิงก์ที่น่าสงสัยในอีเมล หรือข้อความ

Indicators of Compromise

Domains used for DNS tunneling

  • 85hsyad6i2ngzp[.]com
  • 8egub9e7s6cz7n[.]com
  • 8jtuazcr548ajj[.]com
  • anrad9i7fb2twm[.]com
  • aucxjd8rrzh7xf[.]com
  • b5ba24k6xhxn7b[.]com
  • cgb488dixfxjw7[.]com
  • d6zeh4und3yjt9[.]com
  • epyujbhfhbs35j[.]com
  • hhmk9ixaw9p3ec[.]com
  • hjmpfsamfkj5m5[.]com
  • iszedim8xredu2[.]com
  • npknraafbisrs7[.]com
  • patycyfswg33nh[.]com
  • rhctiz9xijd4yc[.]com
  • sn9jxsrp23x63a[.]com
  • swh9cpz2xntuge[.]com
  • tp7djzjtcs6gm6[.]com
  • uxjxfg2ui8k5zk[.]com
  • wzbhk2ccghtshr[.]com
  • y43dkbzwar7cdt[.]com
  • ydxpwzhidexgny[.]com
  • z54zspih9h5588[.]com
  • 3yfr6hh9dd3[.]com
  • 4bs6hkaysxa[.]com
  • 66tye9kcnxi[.]com
  • 8kk68biiitj[.]com
  • 93dhmp7ipsp[.]com
  • api536yepwj[.]com
  • bb62sbtk3yi[.]com
  • cytceitft8g[.]com
  • dipgprjp8uu[.]com
  • ege6wf76eyp[.]com
  • f6kf5inmfmj[.]com
  • f6ywh2ud89u[.]com
  • h82c3stb3k5[.]com
  • hwa85y4icf5[.]com
  • ifjh5asi25f[.]com
  • m9y6dte7b9i[.]com
  • n98erejcf9t[.]com
  • rz53par3ux2[.]com
  • szd4hw4xdaj[.]com
  • wj9ii6rx7yd[.]com
  • wk7ckgiuc6i[.]com
  • secshow[.]net
  • secshow[.]online
  • secdns[.]site

IP addresses

  • 35.75.233[.]210
  • 202.112.47[.]45

ที่มา: hackread , DNS Tunneling