DNS 隧道滥用扩展到跟踪和扫描受害者

攻击者正在将对 DNS 流量的恶意操控提升到一个新水平，滥用 DNS 隧道来扫描受害者的网络基础设施以及跟踪受害者的在线行为。其目标是获取有用的见解，以便找到新的方法来破坏组织。

Palo Alto Networks 的 Unit 42 研究人员已经识别出几起最近的威胁活动，这些活动超出了 DNS 隧道的典型使用范围。DNS 隧道是利用出站 DNS 流量将恶意数据从恶意软件利用中走私回攻击者的指挥和控制（C2）基础设施的过程。他们在最近的一篇博客文章中透露，攻击者一直在滥用 DNS 流量来跟踪受害者的活动，通过向受害者传递恶意域名，并在子域名负载中编码其身份信息。

"DNS 隧道技术可以被对手用来执行各种通常与其无关的操作，"Unit 42 的 Shu Wang、Ruian Duan 和 Daiping Liu 在文章中写道。"尽管传统印象认为隧道用于 C2 和 VPN 目的，我们还发现攻击者可以利用 DNS 隧道作为受害者活动跟踪和网络扫描的工具。"

根据 Unit 42 的说法，最近活动中的扫描包括通过在隧道负载中编码 IP 地址和时间戳，并使用伪造的源 IP 地址来巡查网络基础设施。这使得攻击者能够发现开放解析器——即愿意为互联网上的任何人解析递归 DNS 查询的 DNS 服务器，以便他们可以利用解析器漏洞执行 DNS 攻击。研究人员写道，这可能导致恶意重定向或拒绝服务攻击。

DNS 隧道的工作原理

DNS 隧道对恶意行为者来说很有价值，因为它提供了一个隐蔽的通信通道，使他们能够绕过传统的网络防火墙，从而将 C2 流量和数据外泄隐藏在合法的出站流量中，掩盖在传统检测方法之外。

DNS 隧道以多种方式隐藏流量。例如，攻击者可以通过用户数据报协议（UDP）端口 53 发送流量，该端口无处不在，通常允许通过防火墙和其他网络安全措施。客户端机器不会直接与攻击者的服务器通信，增加了另一层模糊性。

此外，攻击者通常使用他们自己的定制方法对在外泄和渗透期间发送的数据进行编码，这将数据伪装在看似合法的 DNS 流量中。

用于跟踪的 DNS 隧道

Unit 42 的研究人员观察到两起特定攻击，其中 DNS 隧道被用来通过 DNS 流量中的子域跟踪受害者的行为。

"在这种 DNS 隧道的应用中，攻击者的恶意软件将特定用户及其行为的信息嵌入到 DNS 查询的唯一子域中，"研究人员解释道。"这个子域是隧道负载，FQDN 的 DNS 查询使用攻击者控制的域。"

一项被研究人员称为"TRkCdn"的活动针对 731 个潜在受害者，使用 75 个 IP 地址作为名称服务器，并解析了 658 个攻击者控制的域。根据研究人员的观察，这种技术可能用于跟踪受害者与电子邮件内容的互动。

在另一项活动中，恰如其名的 SpamTracker，攻击者以类似于 TrkCdn 的方式使用 DNS 隧道来跟踪垃圾邮件的投递，研究人员表示。该活动涉及 44 个隧道域，使用电子邮件和网站链接来传递垃圾邮件和钓鱼内容，诱饵包括算命服务、假包裹递送更新、次要工作机会和终身免费物品。

用于扫描的 DNS 隧道

Unit 42 观察到的第三种新颖的 DNS 隧道使用形式是利用该方法定期扫描受害者的网络基础设施以查找漏洞——通常是网络攻击的第一阶段——然后执行反射攻击。

研究人员观察到所谓的 SecShow 活动寻找开放解析器，测试解析器延迟，利用解析器漏洞，并获取生存时间（TTL）信息。它包含三个域，使用各种子域来实现不同类型的网络扫描。

SecShow 活动通常针对其发现的开放解析器，因此其受害者主要来自"教育、高科技和政府领域，这些领域通常存在开放解析器，"研究人员指出。

缓解恶意 DNS 行为

在检测 DNS 隧道方面，Unit 42 的研究人员建议组织控制解析器的服务范围，仅接受必要的查询，并及时更新解析器软件版本以防止 N 天漏洞的利用。

当然，防止攻击者在新型攻击中利用 DNS 隧道的最佳方法是完全将威胁行为者排除在环境之外，安全意识培训公司 KnowBe4 的数据驱动防御布道者 Roger Grimes 指出。

"关键是防止他们获得初始立足点访问，"他说。"一旦他们进入，就已经结束了。"

为了缓解约 90% 的攻击——无论它们是否使用 DNS 隧道——组织必须防止社会工程钓鱼和其他攻击的成功，并修补易受攻击的软件和固件，Grimes 建议。