Little boy questioned his mother, he asked what he can be in the future..with a sad smile, she tells him he can be anything he wants to be.... Boy said he’d become (an) astronaut and fly out into space crews around the universe he wanted to see the stars and also see other planets in outer space------------- "Why don’t we just keep dreaming, let’s keep our mind with dream and faith, as long as we wish we can make it come true, how old you are never forget your dream and keep dreaming "

Monday, 14 May 2018

DNS Tunneling (Botnet DNS Tunneling)

Pada 2011, botnet mulai menggunakan lalu lintas DNS untuk menutup data yang dicuri secara tersembunyi. Botnets menggunakan layanan DNS mereka sendiri untuk komunikasi proxy dari perangkat yang terinfeksi ke pengendali botnet. Topik ini menjelaskan bagaimana DNS telah memainkan peran yang semakin penting dalam evolusi botnet, termasuk beberapa teknik CnC baru yang mengkhawatirkan yang melengkapi protokol yang dieksploitasi lainnya: IRC, HTTP, dan P2P.

Analis keamanan harus dapat mendeteksi jika penyerang menggunakan tunneling DNS untuk mengeksfiltrasi data dari jaringan mereka.

Pada tahun 1999, malware (virus, worm, Trojans, dan sebagainya) berevolusi dari infeksi yang terisolasi menjadi botnet perangkat yang saling terhubung. Sejak saat itu, organisasi cybercriminal dan komunitas keamanan telah mengobarkan perlombaan senjata yang semakin rumit. Perang ini telah menghasilkan evolusi teknik CnC botnet yang sangat kuat, tersembunyi, dan mobile.

Evolusi dari Botnet telah mengeksploitasi protokol lalu lintas DNS. DNS selalu menjadi salah satu komponen Internet yang paling kuat dan ada di mana-mana. Dan hari ini, dengan memanfaatkan DNS, botnet juga menjadi tersebar di mana-mana baik di jaringan rumah maupun perusahaan. Meskipun klaim deteksi dan pencegahan banyak dari solusi keamanan "generasi berikutnya", jaringan perusahaan tidak dapat ditembus. Ada terlalu banyak vektor serangan dan ancaman lanjutan yang terus-menerus untuk setiap kombinasi lapisan pencegahan untuk menjamin perlindungan masuk 100%.

Saat ini, perusahaan memahami kerusakan luar biasa yang dapat dotimbulkan oleh botnet, namun sebagian besar masih mengabaikan DNS. Biasanya, lalu lintas DNS hanya diperiksa setelah insiden keamanan terjadi sebagai bagian dari penyelidikan forensik. Perilaku reaksioner ini tampaknya bertentangan dengan kecenderungan bahwa biaya paling besar dikeluarkan dari tim legal yang menyelesaikan permasalahan data dan identitas yang dicuri, daripada tim TI yang memulihkan perangkat yang terinfeksi. Keadaan cybercrime saat ini menuntut strategi pertahanan mendalam organisasi untuk bergeser, dari pendekatan “deteksi dan pencegahan” saat ini, menjadi paradigma "mencegah dan menahan".

Botnet bukan hanya sekedar infeksi — ini adalah jaringan perangkat yang terinfeksi yang beroperasi di dalam lingkungan Anda, tetapi di luar kendali Anda. Banyak penelitian menunjukkan bahwa sebagian besar perusahaan, termasuk perusahaan Fortune 500, memiliki banyak perangkat yang terhubung ke jaringan yang terinfeksi malware. Oleh karena itu, sangat penting untuk secara proaktif menahan botnet dengan mengambil kembali kontrol. Terapkan solusi yang mampu memblokir mekanisme reli dan komunikasi keluar yang berasal dari malware. Melakukan hal itu berarti anda mencegah kebocoran data dan kejahatan dunia maya lainnya terjadi di jaringan Anda.



DNS Tunneling adalah tempat protokol atau data lain disembunyikan di dalam paket DNS. Biasanya, penyerang akan menggunakan tunneling DNS untuk eksfiltrasi data tersembunyi dalam pencurian data, atau untuk komunikasi lalu lintas CnC. Untuk konteks historis, tunneling DNS telah ada sejak tahun 1998. Pada tahun 2004, DNS-guru Dan Kaminsky secara luas mempresentasikan penerapannya untuk mentransmisikan data arbitrer terhadap DNS ke komunitas keamanan. Sejak itu, jumlah kit terowongan DNS sederhana yang telah dibuat dengan mudah diakses selama beberapa tahun terakhir ini mengkhawatirkan. Cybercriminal dapat menggunakan perangkat DNS tunneling semacam itu untuk membangun botnet guna melewati solusi keamanan tradisional.


Gambar tersebut menunjukkan data yang dieksfiltrasikan dari host yang terinfeksi menggunakan query DNS, dan penyerang mengirimkan perintah ke host yang terinfeksi menggunakan DNS response. Paling umum, data yang sedang disebarkan di DNS akan dikodekan oleh penyerang untuk menghindari deteksi. Dua metode pengkodean umum termasuk pengkodean Base32 dan Base64
  • Tunneling data non-DNS dalam lalu lintas DNS menyalahgunakan protokol DNS dan recordnya. Setiap jenis record DNS (misalnya, NULL, TXT, SRV, MX, CNAME, atau A) dapat digunakan, dan kecepatan komunikasi ditentukan oleh jumlah data yang dapat disimpan dalam satu catatan dari setiap jenis . Data TXT dapat menyimpan sebagian besar data dan biasanya digunakan dalam penerapan DNS tunneling. Namun, tidak umum untuk menyimpan pada jenis data record DNS ini, sehingga mungkin lebih mudah dideteksi. Sayangnya, hanya memblokir pencatatan TXT sebagai metode pertahanan tidak cukup, karena akan merusak protokol lain (misalnya, SPF, DKIM).
  • Fase outbound dimulai dengan memisahkan data yang yang akan dikirm pada host lokal menjadi banyak potongan data yang dienkode. Setiap data chunk (misalnya, 10101) ditempatkan di label nama domain tingkat ketiga atau lebih rendah dari permintaan DNS (misalnya, 10101.cnc.tld). Tidak akan ada tanggapan cache pada server DNS lokal atau jaringan untuk kueri ini. Oleh karena itu, kueri diteruskan ke server DNS rekursif ISP.
  • Layanan DNS rekursif yang digunakan oleh jaringan akan meneruskan kueri ke server nama otoritatif penjahat cyber. Proses ini diulang menggunakan beberapa permintaan DNS tergantung pada jumlah data yang dikirim untuk dikirim.
  • Fase inbound dipicu ketika server nama otoritatif penjahat cyber menerima permintaan DNS dari perangkat yang terinfeksi. Ini dapat mengirim tanggapan untuk setiap permintaan DNS, yang mengenkapsulasi perintah yang dikodekan. Malware pada perangkat yang terinfeksi menggabungkan kembali perintah-perintah yang terfragmentasi ini dan mengeksekusinya.
  • Sebagai alternatif, jika komunikasi dua arah tidak diperlukan, baik query atau respon dapat mengecualikan data atau perintah yang dienkapsulasi, membuatnya lebih tidak mencolok untuk menghindari deteksi.
Gambar di bawah ini menunjukkan bagian dari PCAP. Sebagai seorang analis, jika Anda melihat PCAP ini, sebaiknya Anda curiga tentang permintaan DNS ini? Kueri DNS ini sebenarnya memiliki informasi kartu kredit yang disandikan di dalamnya. Misalnya, 34343031203831353420373734372037363535 dalam hex diterjemahkan menjadi 4401 8154 7747 7655 di ASCII yang merupakan nomor kartu kredit. 
Paket besar dan kompleks dalam lalu lintas DNS akan menjadi lebih umum dengan adopsi DKIM, IPv6, dan ekstensi lainnya ke protokol DNS di masa mendatang. Ketika permintaan DNS dan aliran respons tampak normal, akankah teknik deteksi tradisional dapat menghentikan kebocoran data melalui DNS? DNS dan botnet ada di mana-mana dalam jaringan, dan botnet bergantung pada DNS. Menambahkan solusi keamanan yang memeriksa dan menyaring (filtering) lalu lintas DNS ke strategi pertahanan-mendalam dapat membantu menahan botnet.

Penanggulangan serangan yang didasarkan pada tunneling DNS termasuk yang berikut:
  • Pantau log DNS untuk aktivitas mencurigakan seperti permintaan DNS dengan nama domain yang luar biasa panjang dan mencurigakan.
  • Terapkan solusi seperti Cisco OpenDNS untuk memblokir lalu lintas tunneling DNS dari keluar ke domain jahat.
Diposkan oleh pada
Label: ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)