Tunneling DNS
Qu'est-ce que Tunneling DNS ?
Tunneling DNSCanal cache qui encode des donnees arbitraires dans des requetes et reponses DNS sur UDP/TCP port 53, frequemment utilise pour le C2 et l'exfiltration de donnees.
Le tunneling DNS exploite le fait que le trafic DNS (UDP/TCP port 53) est presque toujours autorise et rarement inspecte en profondeur. Le malware encode les octets de sa charge dans des labels de sous-domaine (par exemple des morceaux base32 sous attacker.example.com) et le serveur autoritaire de l'attaquant repond avec des enregistrements TXT, CNAME ou NULL contenant la reponse ou les commandes. Des outils comme dnscat2, Iodine ou le C2 DNS de Cobalt Strike utilisent ce schema. Le debit est faible mais furtif. La detection s'appuie sur un taux de requetes par hote eleve, des labels anormalement longs, une forte entropie des sous-domaines, des motifs base64/hex, des types d'enregistrement atypiques et des flux de threat intel. Les defenses incluent un proxy DNS, le sinkholing, des limites de debit, l'analytique d'anomalies en EDR/NDR et le blocage des resolveurs DNS inconnus en sortie.
● Exemples
- 01
Un hote infecte envoie des requetes du type a1b2c3.exfil.attacker.com dont les labels encodent des donnees volees.
- 02
dnscat2 etablit un shell base sur TXT sur DNS pour contourner un proxy de sortie limite a HTTP.
● Questions fréquentes
Qu'est-ce que Tunneling DNS ?
Canal cache qui encode des donnees arbitraires dans des requetes et reponses DNS sur UDP/TCP port 53, frequemment utilise pour le C2 et l'exfiltration de donnees. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie Tunneling DNS ?
Canal cache qui encode des donnees arbitraires dans des requetes et reponses DNS sur UDP/TCP port 53, frequemment utilise pour le C2 et l'exfiltration de donnees.
Comment fonctionne Tunneling DNS ?
Le tunneling DNS exploite le fait que le trafic DNS (UDP/TCP port 53) est presque toujours autorise et rarement inspecte en profondeur. Le malware encode les octets de sa charge dans des labels de sous-domaine (par exemple des morceaux base32 sous attacker.example.com) et le serveur autoritaire de l'attaquant repond avec des enregistrements TXT, CNAME ou NULL contenant la reponse ou les commandes. Des outils comme dnscat2, Iodine ou le C2 DNS de Cobalt Strike utilisent ce schema. Le debit est faible mais furtif. La detection s'appuie sur un taux de requetes par hote eleve, des labels anormalement longs, une forte entropie des sous-domaines, des motifs base64/hex, des types d'enregistrement atypiques et des flux de threat intel. Les defenses incluent un proxy DNS, le sinkholing, des limites de debit, l'analytique d'anomalies en EDR/NDR et le blocage des resolveurs DNS inconnus en sortie.
Comment se défendre contre Tunneling DNS ?
Les défenses contre Tunneling DNS combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Tunneling DNS ?
Noms alternatifs courants : DNS C2, Exfiltration par DNS.
● Termes liés
- network-security№ 1188
UDP
Protocole de transport sans connexion (RFC 768) qui delivre des datagrammes individuels entre ports avec une surcharge minimale, sans garantie de fiabilite ni d'ordre.
- attacks№ 335
Attaque par amplification DNS
Attaque DDoS par réflexion qui abuse des résolveurs DNS ouverts en envoyant de petites requêtes avec l'IP usurpée de la victime, afin que les résolveurs lui envoient de grandes réponses DNS.
- attacks№ 338
Détournement DNS
Attaque qui redirige la résolution DNS vers des réponses contrôlées par l'attaquant en modifiant les paramètres clients, la configuration du routeur, les réponses du résolveur ou les enregistrements DNS autoritaires.
- attacks№ 337
Empoisonnement de cache DNS
Attaque qui insère des enregistrements falsifiés dans le cache d'un résolveur DNS afin que les requêtes ultérieures renvoient des adresses choisies par l'attaquant jusqu'à expiration du TTL.
- network-security№ 508
ICMP
Protocole de controle et de diagnostic de la couche reseau (RFC 792 pour IPv4 et RFC 4443 pour IPv6), utilise par les hotes et routeurs pour signaler erreurs et conditions de chemin.
- network-security№ 1112
Prise de controle de sous-domaine
Attaque ou un enregistrement DNS orphelin (souvent un CNAME) pointe vers une ressource cloud ou SaaS non revendiquee, permettant a un attaquant de la recreer et d'usurper le sous-domaine.
● Voir aussi
- № 398Exfiltration
- № 407Fast flux