Tidigare har vi gått igenom hur DNS kan missbrukas genom exempelvis DNS tunneling och öppna DNS-resolvers. Dessa attacker visar hur DNS-trafik kan utnyttjas för att kringgå säkerhetslösningar eller förstärka attacker.
Det finns dock fler metoder där DNS spelar en central roll. I detta avsnitt fokuserar vi på Domain Shadowing och olika typer av stealth-attacker. Till skillnad från tidigare exempel handlar dessa inte främst om att transportera data, utan om att utnyttja förtroende och att dölja angriparens infrastruktur.
Genom att förstå dessa tekniker får du en bredare bild av hur DNS kan missbrukas – och varför övervakning och analys av DNS-trafik är en så viktig del av modern nätverkssäkerhet.
DNS Domain Shadowing attacker
Domain Shadowing bygger på att angriparen inte attackerar DNS-protokollet i sig, utan istället utnyttjar svaga kontoskydd hos domänägaren. Genom att få tillgång till inloggningsuppgifter, ofta via phishing eller återanvända lösenord, kan hotaktören logga in i domänens administrationsgränssnitt.
Till skillnad från en traditionell kapning ändrar angriparen sällan huvuddomänen. Istället skapas ett stort antal underdomäner i bakgrunden. Dessa används som en flexibel och svårupptäckt infrastruktur för attacker.
Det som gör denna metod effektiv är att underdomänerna är kopplade till en legitim och betrodd domän. Säkerhetslösningar och användare har därför mindre anledning att misstänka att trafiken är skadlig.
I praktiken används dessa underdomäner ofta för att:
- leda användare till phishing-sidor
- distribuera skadlig kod
- fungera som mellanled i en command-and-control-struktur
En ytterligare utmaning är att angriparen kontinuerligt kan skapa nya underdomäner. Även om vissa upptäcks och blockeras, kan nya snabbt ersätta dem. Detta gör attacken dynamisk och svår att stoppa med enbart statiska blocklistor.
DNS Stealth attacker
Genom att använda stealth-tekniker kan hotaktörer fortsätta sina illasinnade aktiviteter med minskad risk för att upptäckas och stoppas. Det kräver avancerade säkerhetsåtgärder och ständig övervakning för att effektivt bekämpa dessa hot.
DNS stealth-attacker skiljer sig från många andra DNS-baserade attacker genom att fokus inte ligger på själva intrånget, utan på att förbli oupptäckt så länge som möjligt. Angriparen bygger upp en infrastruktur som ständigt förändras, vilket gör det svårt att spåra och blockera attacken.
Istället för att använda en fast server eller en statisk domän arbetar angriparen med tekniker som gör att både adresser och resurser hela tiden byts ut. För en försvarare innebär detta att traditionella metoder, som att blockera en specifik IP-adress eller domän, snabbt blir ineffektiva.
Fast Flux
En vanlig metod är Fast Flux, där en och samma domän kopplas till ett stort antal IP-adresser som roteras kontinuerligt. Dessa IP-adresser tillhör ofta infekterade datorer i ett botnät infekterade nätverk), vilket gör att den skadliga tjänsten i praktiken är distribuerad över många noder. När en adress blockeras ersätts den snabbt av en ny.
- IP-adresser ändras kontinuerligt med syfte att gömma skadliga webbplatser
- Används ofta av botnät
- Gör det svårt att blockera skadliga servrar
Double IP Flux
Double Flux utvecklar detta ytterligare genom att även byta ut de auktoritativa DNS-servrarna. Det innebär att inte bara tjänsten flyttas runt, utan även den infrastruktur som pekar ut den. Försök att spåra eller stänga ner attacken försvåras därmed avsevärt.
Domängenereringsalgoritmer
En annan viktig teknik är användningen av domängenereringsalgoritmer. Här genererar skadeprogrammet automatiskt stora mängder domännamn som den infekterade enheten försöker kontakta. Angriparen behöver bara registrera några få av dessa domäner för att skapa en fungerande kommunikationskanal. Eftersom domännamnen förändras hela tiden blir det mycket svårt att i förväg blockera rätt adresser.
Gemensamt för dessa metoder är att de skapar en rörlig och svårgripbar attackyta. Istället för att gömma trafiken, som vid DNS tunneling, eller utnyttja legitima domäner, som vid Domain Shadowing, försöker angriparen här göra sin infrastruktur så dynamisk att den inte går att fånga.
Stealth-attacker visar att moderna hot inte bara handlar om att ta sig in i ett nätverk, utan också om att kunna stanna kvar utan att bli upptäckt.