ブログ - DNSトンネリング
DNSトンネリングの実演はこんな感じ.
送信したい秘密のデータが"HELLO"だとして,それを一見わからないように暗号化.今回の場合はbase64でエンコード.
エンコードしたデータをホスト部としてDNSルックアップする.
そんなホストは無いと返答がある.
これでgoogle.comのDNSサーバには,SEVMTE8Kというホスト名を検索したというDNSログが残る.DNSクエリを送った対象サーバが悪のあるデータ収集サーバだったら...
悪意のあるプログラムが,DNSリクエストに偽装してデータを送信することでセキュリティゲートウェイやツールでの検知を逃れるのがDNSトンネリング.
よってよくわからない命名規則のホスト名になるSEVMTE8KSEVMTE8KSEVMTE8K.google.comとかの場合,セキュリティツールで検知するように動作する場合がある.
クラウドサービスを使っていてサーバをオートスケールにしている場合,ホスト名はランダムでユニークなものが付与されて時としてSEVMTE8KSEVMTE8KSEVMTE8Kみたいなホスト名になるので,それが検知される場合がある.
情報漏洩になる事象なのか,過検知なのかは,自動では判明しづらいが,セキュリティツールで検知したとしてもワーニング程度にしていることが多い.つまりアラートは通知されるけど通信は止めない.
ハッカーは秘密通信とファイアウォールのバイパスのために DNS トンネリングを悪用する
https://community.riskiq.com/article/7f0d7aa3
引用:
送信したい秘密のデータが"HELLO"だとして,それを一見わからないように暗号化.今回の場合はbase64でエンコード.
$ echo HELLO |base64🆑
SEVMTE8K
$$ dig SEVMTE8K.google.com🆑
; <<>> DiG 9.10.6 <<>> SEVMTE8K.google.com
;; global options: +cmd
;; Got answer:
;; QUESTION SECTION:
;SEVMTE8K.google.com. IN A🈁
$これでgoogle.comのDNSサーバには,SEVMTE8Kというホスト名を検索したというDNSログが残る.DNSクエリを送った対象サーバが悪のあるデータ収集サーバだったら...
悪意のあるプログラムが,DNSリクエストに偽装してデータを送信することでセキュリティゲートウェイやツールでの検知を逃れるのがDNSトンネリング.
よってよくわからない命名規則のホスト名になるSEVMTE8KSEVMTE8KSEVMTE8K.google.comとかの場合,セキュリティツールで検知するように動作する場合がある.
クラウドサービスを使っていてサーバをオートスケールにしている場合,ホスト名はランダムでユニークなものが付与されて時としてSEVMTE8KSEVMTE8KSEVMTE8Kみたいなホスト名になるので,それが検知される場合がある.
情報漏洩になる事象なのか,過検知なのかは,自動では判明しづらいが,セキュリティツールで検知したとしてもワーニング程度にしていることが多い.つまりアラートは通知されるけど通信は止めない.
ハッカーは秘密通信とファイアウォールのバイパスのために DNS トンネリングを悪用する
https://community.riskiq.com/article/7f0d7aa3
引用:
Palo Alto は、ハッカーが DNS トンネリングを秘密の通信方法として、また従来のセキュリティ対策を回避するためにどのように利用しているかについて説明します。
