DNS Tunneling adalah teknik serangan siber yang mengarahkan permintaan DNS ke pelayan penyerang, menyediakan saluran kawalan dan arahan yang tersembunyi, serta laluan untuk mengekstrak data. Menurut laporan Palo Alto Networks 2024, DNS berfungsi seperti buku telefon untuk internet, membantu menterjemah antara alamat IP (seperti 199.167.52.137) dan nama domain yang mesra pengguna (seperti example.com). Oleh kerana manusia sukar mengingati rentetan nombor yang panjang, alamat web seperti ‘example.com’ lebih mudah diingati dan memberikan gambaran tentang destinasi yang dituju.
Keunikan dan keberkesanan DNS Tunneling terletak pada penggunaan protokol DNS yang sentiasa dibenarkan untuk bergerak masuk dan keluar melalui firewall. Kebanyakan organisasi tidak memantau trafik DNS mereka untuk aktiviti berniat jahat kerana DNS tidak direka untuk pengekstrakan data, menjadikannya sasaran yang menarik untuk penyerang siber.
Maksud DNS Tunneling
Bagaimana DNS Tunneling Berfungsi?
Proses DNS Tunneling bermula apabila penyerang mendaftarkan domain seperti badsite.com, dengan pelayan nama yang menunjuk ke pelayan penyerang yang telah dipasang dengan program terowong berniat jahat. Penyerang kemudian menjangkiti komputer sasaran dengan malware, yang biasanya berada di belakang firewall syarikat. Memandangkan permintaan DNS sentiasa dibenarkan bergerak masuk dan keluar firewall, komputer yang dijangkiti boleh menghantar pertanyaan ke DNS resolver.
DNS resolver kemudiannya menghalakan pertanyaan ke pelayan kawalan dan arahan penyerang, di mana program terowong telah dipasang. Sambungan kini terjalin antara mangsa dan penyerang melalui DNS resolver. Terowong ini boleh digunakan untuk mengekstrak data atau tujuan berniat jahat yang lain. Proses ini sukar dikesan kerana tiada sambungan langsung antara penyerang dan mangsa.
Apakah Jenis-Jenis Serangan DNS Tunneling?
Serangan DNS Tunneling termasuk Command and Control (C2) yang melibatkan penggunaan malware yang diperkenalkan melalui peranti yang dijangkiti untuk menghantar arahan dan memuat naik data. Teknik ini mengelak sambungan TCP/UDP tradisional dan membolehkan penyerang mengawal sistem yang dijangkiti dari jauh. Malware seperti Morto dan Feederbot telah digunakan secara meluas untuk tujuan ini.
Pengekstrakan data adalah jenis serangan kedua di mana data dikodkan ke dalam beberapa pertanyaan hos DNS dari masa ke masa. Kumpulan ancaman seperti DarkHydrus dan OilRig telah menggunakan teknik ini untuk mensasar entiti kerajaan dan organisasi di Timur Tengah sejak 2016. Jenis ketiga melibatkan penyalahgunaan WiFi dan pintasan polisi, di mana penyerang mencipta terowong IPv4 lengkap untuk memintas keselamatan rangkaian.
Bagaimana Cara Mengesan Serangan DNS Tunneling?
Pengesanan DNS Tunneling memerlukan pemantauan teliti terhadap trafik DNS untuk corak yang mencurigakan. Analisis payload melibatkan pemeriksaan kandungan permintaan dan respons DNS, termasuk perbezaan saiz antara permintaan dan respons, serta mengenal pasti nama hos yang luar biasa. Sistem pengesanan moden menggunakan pembelajaran mesin untuk menubuhkan garis dasar tingkah laku DNS normal dalam sesuatu persekitaran.
Analisis trafik pula menggunakan maklumat seperti bilangan permintaan yang dibuat, lokasi geografi, dan sejarah domain untuk membezakan trafik DNS normal daripada tingkah laku berniat jahat. Penggunaan sistem pengesanan pencerobohan (IDS) dan teknologi dekripsi untuk protokol seperti TLS 1.3 dan Kerberos juga penting untuk meningkatkan keberkesanan pengesanan.
Apakah Langkah-Langkah Perlindungan Daripada Serangan DNS Tunneling?
Perlindungan terhadap DNS Tunneling memerlukan pendekatan menyeluruh yang menggabungkan teknologi dan kesedaran keselamatan. Organisasi perlu melaksanakan DNS Security Extensions (DNSSEC) dan menggunakan firewall yang menyokong pemeriksaan DNS mendalam. Program latihan kesedaran keselamatan untuk kakitangan IT juga penting untuk memastikan mereka dapat mengenal pasti dan bertindak balas terhadap ancaman dengan berkesan.
Palo Alto Networks mencadangkan penggunaan perkhidmatan keselamatan DNS yang khusus untuk menghalang akses ke domain berniat jahat. Ini termasuk menghalang domain berdasarkan reputasi, mewujudkan peraturan untuk rentetan pertanyaan DNS yang mencurigakan, dan menggunakan analitik tingkah laku pengguna dan sistem untuk mengesan anomali secara automatik.
Apa Amalan Terbaik Keselamatan DNS?
Untuk memastikan keselamatan DNS, program pendidikan dan kesedaran keselamatan untuk kakitangan adalah langkah pertama yang kritikal. Kakitangan perlu dilatih untuk mengenal pasti ancaman berniat jahat dan mengambil langkah berjaga-jaga semasa mengikuti pautan untuk mengelakkan pemasangan malware. Latihan mengenai phishing boleh membantu mereka mengenal pasti, mengelak dan melaporkan serangan berasaskan e-mel.
Program risikan ancaman juga perlu dilaksanakan untuk memahami landskap ancaman semasa dan teknik yang digunakan oleh penyerang. Dengan pemahaman ini, organisasi boleh memastikan mereka mempunyai tumpukan teknologi yang sesuai untuk melindungi rangkaian mereka.
Strategi Kerja Jarak Jauh
Organisasi perlu membangunkan strategi khusus untuk tenaga kerja jarak jauh yang boleh meletakkan data syarikat yang sensitif dalam risiko. Kakitangan perlu diberi amaran tentang penggunaan WiFi awam atau percuma yang tidak selamat kerana penyerang boleh dengan mudah meletakkan diri mereka antara pekerja dan titik sambungan.
Untuk menangani risiko ini, organisasi perlu mengintegrasikan pengesahan berbilang faktor dan bersedia untuk risiko kehilangan atau kecurian peranti. Polisi keselamatan yang jelas dan prosedur tindak balas insiden perlu diwujudkan untuk menangani situasi seperti ini.
Respons Automatik Dan Pemantauan
Untuk melindungi organisasi dengan berkesan, sistem respons automatik diperlukan dan bukan sekadar amaran. Kelajuan serangan dilaksanakan menjadikan amaran dan isyarat tidak berkesan. Menjelang masa ancaman dikenal pasti, mungkin sudah terlambat untuk bertindak.
Pasukan keselamatan memerlukan keupayaan untuk menentukan ancaman secara automatik dan mengkuarantin sistem yang berpotensi dijangkiti sebelum lebih banyak kerosakan berlaku. Ini memerlukan pelaburan dalam teknologi automasi dan sistem pemantauan yang canggih.
Apa Sejarah Dan Evolusi DNS Tunneling?
DNS Tunneling telah wujud hampir 20 tahun. Dan Kaminsky memperkenalkan konsep ini di Black Hat pada tahun 2004 dengan utiliti OzymanDNS. Sejak itu, pelbagai alat seperti Iodine (2006), NSTX (2000, Linux sahaja), dan DNScat (2010) telah dibangunkan.
Evolusi serangan ini dapat dilihat melalui aktiviti kumpulan ancaman seperti DarkHydrus yang mensasarkan entiti kerajaan di Timur Tengah pada 2018, dan OilRig yang telah beroperasi sejak 2016 dan masih aktif. Teknik-teknik yang digunakan semakin canggih dan sukar dikesan.
