T1583.002: DNS-СЕРВЕРИ
Зловмисники розгортають та налаштовують власні сервери доменних імен (DNS) для підтримки своїх операцій. Це дозволяє їм повністю контролювати процес резолвінгу доменів, керувати трафіком командних серверів (C2) та використовувати специфічні налаштування для реалізації каналів зв'язку через DNS-протокол (DNS Tunneling), що часто ігнорується стандартними засобами моніторингу мережі.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть створювати власні сервери системи доменних імен (DNS), які можуть бути використані під час вибору цілі. Під час діяльності після компрометації зловмисники можуть використовувати DNS-трафік для різних завдань, зокрема для управління та контролю (C2) (наприклад, через протокол прикладного рівня). Замість перехоплення існуючих DNS-серверів, зловмисники можуть вирішити налаштувати та запустити власні DNS-сервери для підтримки операцій.
Запускаючи власні DNS-сервери, зловмисники отримують більше контролю над тим, як вони адмініструють серверний трафік DNS C2. Маючи контроль над DNS-сервером, зловмисники можуть налаштовувати DNS-застосунки для надання умовних відповідей шкідливому ПЗ і, загалом, мати більше гнучкості в структурі каналу C2 на основі DNS.
DNS як прихований канал зв’язку Розгортання власного DNS-сервера — це крок до створення стійкої та непомітної інфраструктури. Основні переваги для атакуючого:
- DNS Tunneling: Хакер використовує DNS-запити як транспорт для передачі даних. Команди від C2-сервера «зашиваються» у відповіді DNS (наприклад, у поля TXT), а дані з вашої мережі передаються як піддомени у запитах (наприклад, vukradeni-dani.attacker.com).
- Умовні відповіді (Conditional Responses): Власний сервер дозволяє хакеру відповідати по-різному залежно від того, хто запитує. Якщо запит прийшов від жертви — сервер віддає IP шкідливого сервера. Якщо від дослідника безпеки — сервер видає легітимну адресу (наприклад, Google), щоб приховати атаку.
- Гнучкість інфраструктури: Зловмисник може миттєво змінювати IP-адреси своїх серверів управління, просто оновлюючи записи на власному DNS, що робить блокування за IP-адресами неефективним.
Сценарії використання:
- «Обхід ізоляції»: Сервер у закритому сегменті мережі не має доступу до інтернету, але йому дозволено звертатися до внутрішнього DNS для резолвінгу імен. Хакер використовує цей шлях для передачі команд через внутрішній DNS до свого зовнішнього сервера.
- «Fast-Flux інфраструктура»: Зловмисник налаштовує свій DNS так, щоб він видавав нові IP-адреси для одного й того самого домену кожні кілька секунд. Це дозволяє ботнету залишатися активним, навіть якщо окремі сервери блокуються.
- «Витік даних (Exfiltration)»: Шкідлива програма розбиває конфіденційний файл на маленькі частини і надсилає їх як серію DNS-запитів до піддоменів контрольованого сервера.
Як захиститися?
- Моніторинг аномалій DNS: Відстежуйте запити до рідкісних або динамічно згенерованих доменів (DGA), а також аномально довгі імена піддоменів або велику кількість TXT-запитів.
- DNS Filtering (RPZ): Використовуйте сервіси фільтрації DNS (наприклад, Cisco Umbrella, Cloudflare Gateway), які блокують звернення до відомих шкідливих доменів та серверів.
- Обмеження рекурсії: Налаштуйте внутрішні DNS-сервери так, щоб вони дозволяли рекурсивні запити лише до довірених вищестоящих серверів (Forwarders), і заблокуйте прямий DNS-трафік (порт 53 UDP/TCP) для всіх хостів, крім офіційних DNS-серверів компанії.
- Аналіз довжини запитів: Впровадьте правила в IPS/IDS, що обмежують максимальну довжину DNS-запитів, оскільки довгі випадкові рядки в піддоменах часто є ознакою тунелювання.