Возвращение динозавров: почему хакеры до сих пор применяют DNS-туннелирование

Согласно недавнему отчёту компании Check Point, киберпреступники по-прежнему довольно часто используют в своих атаках DNS-туннелирование — устаревший метод, который считается пережитком ранних дней интернета.

DNS-туннелирование — это способ использования системы DNS (Domain Name System) для передачи данных между компьютерами. Обычно DNS используется для преобразования доменных имён (например, example.com) в IP-адреса, чтобы установить соединение в сети. Однако хакеры могут использовать его для скрытой передачи данных, обходя классические методы обнаружения.

И хотя многие злоумышленники давно перешли на более сложные методы, такие как стеганография и шифрование трафика по HTTP, DNS-туннелирование до сих пор не кануло в Лету.

По данным Check Point Research, этот метод по-прежнему активно применяется, например, в атаках с использованием вредоносного загрузчика CoinLoader, впервые обнаруженного компанией Avira в далёком 2019 году.

Как отмечают эксперты Check Point Research, несмотря на кажущуюся архаичность, DNS-туннелирование по-прежнему остаётся в арсенале киберпреступников благодаря ряду преимуществ:

• Во-первых, использование DNS-трафика позволяет злоумышленникам маскировать вредоносные команды и данные, обходя системы обнаружения, настроенные на анализ других протоколов.
• Во-вторых, этот канал часто остаётся открытым даже при ограничении других видов сетевого взаимодействия брандмауэрами и прокси-серверами.
• В-третьих, DNS-туннелирование может служить резервным способом связи с командными серверами в случае блокировки основных каналов.

Таким образом, несмотря на появление более совершенных техник, DNS-туннелирование сохраняет привлекательность для злоумышленников благодаря простоте реализации и возможности обхода защиты.

Исследователи Check Point предлагают бороться со злоупотреблением DNS при помощи машинного обучения и искусственного интеллекта. В основе новой технологии DeepDNS лежит использование возможностей вышеописанных инструментов для анализа огромных массивов DNS-трафика и поиска аномалий.

В отличие от традиционных методов, основанных на сравнении с базами репутации доменов, DeepDNS способен распознавать сложные паттерны, указывающие на попытки туннелирования и другие виды злоупотребления протоколом DNS. Благодаря обучению на реальных данных система может выявлять новые, неизвестные ранее схемы атак.

По заявлению разработчиков, в тестах новый инструмент компании показал высокую эффективность обнаружения и блокировки атак с использованием DNS-туннелирования. Однако независимых исследований пока недостаточно, чтобы объективно оценить возможности этой технологии.

Как бы то ни было, технологии ИИ действительно очень перспективно показывают себя в решении задач по кибербезопасности в целом и могут быть эффективно применены против DNS-туннелирования в частности.

Подводя некий итог, стоит сказать, что DNS-туннелирование нельзя упускать из виду в силу нескольких вышеозвученных причин, делающих данную технику привлекательной для злоумышленников, несмотря на её возраст. Поэтому производители решений по кибербезопасности должны уделять внимание защите от этой угрозы наравне с другими методами атак.

В свою очередь, применение передовых технологий, таких как ИИ и машинное обучение, должно помочь куда эффективнее противостоять этой и другим схожим угрозам.