DNS — это фундаментальный протокол интернета, который большинство пользователей воспринимает как нечто само собой разумеющееся. Однако именно его повсеместность и доверенный статус делают DNS идеальным каналом для скрытых атак. В то время как современные системы защиты (EDR, NGFW, SIEM) тщательно мониторят HTTP-трафик и сетевые соединения, DNS-запросы часто остаются без должного внимания.
В этой статье мы разберём, как злоумышленники используют DNS для скрытой передачи данных, удалённого управления вредоносным ПО и обхода систем безопасности. Вы узнаете о реальных кейсах эксплуатации DNS-атак, методах их обнаружения и способах защиты.
Почему DNS — идеальный канал для скрытых атак?
DNS работает на 53-м порту, который редко блокируется даже в строгих корпоративных сетях. Это делает его привлекательным для злоумышленников, которым нужно скрытно передавать данные или получать команды с серверов управления.
Особенности DNS, которые используют атакующие
- Отсутствие глубокого инспектирования — многие межсетевые экраны пропускают DNS-трафик без анализа содержимого запросов.
- Высокая доступность — DNS-запросы разрешаются даже в изолированных сетях, где заблокирован обычный интернет-трафик.
- Стеганография в поддоменах — данные можно кодировать прямо в DNS-запросах, делая их похожими на легитимные.
Эти особенности позволяют использовать DNS не только по прямому назначению, но и как канал для скрытой коммуникации.
Основные типы DNS-атак
DNS-туннелирование
DNS-туннелирование — это метод, при котором злоумышленник кодирует данные (например, украденные файлы) в поддоменах DNS-запросов. Вредоносная программа отправляет запросы к контролируемому злоумышленником DNS-серверу, который извлекает данные из структуры запроса.
Почему это сложно обнаружить?
- Запросы выглядят как обычный DNS-трафик.
- Нет прямого соединения с подозрительным IP — только DNS-резолвинг.
DNS как канал C2 (Command and Control)
Современные ботнеты и вредоносные программы часто используют DNS для получения команд. Вместо того чтобы подключаться к серверу управления напрямую, они:
- Отправляют DNS-запросы к определённому домену.
- Сервер злоумышленника возвращает ответы, закодированные в TXT-записях.
- Вредоносное ПО декодирует команды и выполняет их.
DNS-фишинг и спуфинг
Хотя классический DNS-спуфинг (подмена DNS-ответов) известен давно, его до сих пор используют для:
- Перенаправления жертв на фишинговые сайты.
- Обхода систем аутентификации, которые доверяют определённым доменам.
Если приложение проверяет лицензию через DNS-запрос, злоумышленник может подменить ответ и активировать пиратскую копию.
Как обнаружить и предотвратить DNS-атаки?
Методы обнаружения DNS-туннелей
- Анализ длины и частоты DNS-запросов — аномально длинные поддомены или необычно высокая активность могут указывать на туннелирование.
- Мониторинг нестандартных DNS-записей (TXT, NULL, CNAME) — злоумышленники часто используют их для передачи данных.
- Проверка доменов на репутацию — запросы к новым или подозрительным доменам должны вызывать подозрения.
Защита от DNS как канала C2
- Применение DNSSEC — предотвращает подмену DNS-ответов.
- Ограничение внешних DNS-запросов — разрешать только корпоративные DNS-серверы.
- Использование систем типа DNS Filtering (Cisco Umbrella, Palo Alto DNS Security) — блокировка запросов к известным вредоносным доменам.
Общие рекомендации по защите
- Логирование и анализ DNS-трафика — SIEM-системы могут выявлять аномалии.
- Сегментация сети — ограничение DNS-трафика между критическими сегментами.
- Обновление DNS-серверов — уязвимости в BIND и других DNS-сервисах могут быть использованы для атак.
Организации, которые игнорируют мониторинг DNS-трафика, рискуют стать жертвами утечек данных или скрытых бот-сетей. Защита от таких атак требует комплексного подхода — от фильтрации DNS до поведенческого анализа запросов.
Если ваша компания до сих пор не анализирует DNS-трафик на аномалии, самое время начать — прежде чем это сделают злоумышленники.
