Tunelamento DNS
O que é Tunelamento DNS?
Tunelamento DNSCanal encoberto que codifica dados arbitrarios em consultas e respostas DNS na UDP/TCP 53, frequentemente usado para comando e controle e exfiltracao de dados.
O tunelamento DNS abusa do fato de que o trafego DNS (UDP/TCP porta 53) e permitido em quase todos os lugares e raramente inspecionado em profundidade. O malware codifica bytes do payload em labels de subdominio (por exemplo, blocos base32 sob attacker.example.com) e o servidor autoritativo do atacante responde com registros TXT, CNAME, NULL ou A que carregam a resposta ou os comandos. Como a resolucao e recursiva, os dados saem mesmo quando o host so consegue alcancar um resolver interno e nunca toca diretamente no IP do atacante. Ferramentas como dnscat2, Iodine e o C2 DNS do Cobalt Strike implementam esse padrao; a vazao e baixa, mas furtiva.
Campanhas reais dependem disso. O backdoor SUNBURST de 2020 no SolarWinds Orion usou um algoritmo de geracao de dominios para construir subdominios de avsvmcloud.com e, em seguida, codificou o dominio interno do Active Directory da vitima e a lista de produtos de seguranca instalados nessas consultas DNS, como um canal de C2 bidirecional. As operacoes ligadas ao Ira OilRig/APT34 e DNSpionage tambem se apoiaram no tunelamento DNS para envio de tarefas e exfiltracao.
A deteccao se apoia em sinais que os atacantes tem dificuldade de esconder: alta taxa de consultas por host, labels excepcionalmente longos, alta entropia de subdominios (strings base32/base64/hex), tipos de registro atipicos como TXT ou NULL e dominios nunca vistos antes. As defesas incluem forcar todos os clientes a passar por resolvers controlados, bloquear a porta 53 de saida direta no firewall de saida, sinkholing DNS, limites de taxa de consultas e analitica de anomalias em EDR/NDR.
flowchart LR M[Infected host] -->|"data.b32label.attacker.com"| R[Internal resolver] R -->|recursive lookup| AUTH[Attacker authoritative NS] AUTH -->|"TXT/CNAME reply = command"| R R --> M AUTH -.reassembles.-> D[(Stolen data and C2)]
● Exemplos
- 01
Um host infectado envia consultas como a1b2c3.exfil.attacker.com cujos labels codificam dados roubados.
- 02
O dnscat2 estabelece um shell baseado em TXT sobre DNS para contornar um proxy de saida que so libera HTTP.
● Perguntas frequentes
O que é Tunelamento DNS?
Canal encoberto que codifica dados arbitrarios em consultas e respostas DNS na UDP/TCP 53, frequentemente usado para comando e controle e exfiltracao de dados. Pertence à categoria Segurança de rede da cibersegurança.
O que significa Tunelamento DNS?
Canal encoberto que codifica dados arbitrarios em consultas e respostas DNS na UDP/TCP 53, frequentemente usado para comando e controle e exfiltracao de dados.
Como se defender contra Tunelamento DNS?
As defesas contra Tunelamento DNS costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Tunelamento DNS?
Nomes alternativos comuns: DNS C2, Exfiltracao via DNS.