Ирански хакери са едни от първите които използват DNS-over-HTTPS (DoH) за зловредни цели
Или как за пореден път технология, създадена с идеята да помага, се експлоатира за зловредни цели
Все по-често в сферата на информационната сигурност започва да се среща израза “DoH” : DNS-over-HTTPS.
Създаден за сигурност
Какво представлява DoH ? Накратко – по дизайн, DNS протоколът изпраща заявките в чист вид (plaintext). Така, ако злонамерено лице прихване DNS заявката, ще може да прочете нейното съдържание и оттам да предприеме други зловредни действия. Това, разбира се, представлява сериозен риск.
Вместо да изпрати DNS заявката на порт 53, DoH криптира заявките като ги „маскира“ като WEB трафик на порт 443 (HTTPS). По-този начин DNS трафика не се различава от стандартния HTTPS трафик и съответно съдържанието му остава нечетимо за трета страна (ISP доставчик, зловредно лице по средата на комуникацията – MiTM и т.н.).
През Февруари Firefox разреши DoH да бъде включен по подразбиране за потребителите си в САЩ. За повече информация тук.
Не само позитиви
Както всяко нещо, така и DoH има своите предимства и недостатъци. Предимствата са, че предотвратява някои опасни DNS атаки и може да се каже че повишава поверителността (единствено DoH доставчика ще има видимост върху DNS заявките).
Дотук добре, на пръв поглед всичко е наред и не би трябвало да има някакъв проблем. От гледна точка на специалистите по киберсигурност обаче, това представлява сериозна пречка за засичане на зловредна дейност в мрежата. Причината: голяма част от зловредните кодове в наши дни използва именно DNS, за да извършват своите зловредни дейности (обръщане към CnC сървър, свързване и сваляне на зловредни файлове и т.н.).
Системи за сигурност като IDS на практика стават неизползваеми за следене на DNS трафик, защото за тях това ще бъде стандартен криптиран трафик изпратен на порт 443.
Хакерската групировка от Иран Oilrig е една от първите, които се възползваха от това „предимство“ на DoH, имплементирайки го в своите атаки.
Иноватори
По време на уеб семинар Висенте Диас, анализатор на зловреден софтуер за производителят на антивирусни програми Kaspersky спомена, че използването на DoH за зловредни дейности е започнало през май тази година. Тогава групата OilRig е добавила нов инструмент към своя хакерски арсенал и е започнала да използва нова програма, наречена DNSExfiltrator като част от инструментариума си за проникване в хакнатите мрежи.
Както подсказва името му, инструментът може да прехвърля информация между две точки, използвайки класически DNS заявки, но може да използва и по-новия DoH протокол.
Според Диас, Oilrig, известни също като APT34, използват DNSExfiltrator за събиране на откраднатата информация от вътрешната мрежа и след това я изпращат към управляван от тях сървър.
Причината за използването на DoH като канал за ексфилтрация е именно възможността да изпълняват зловредни действия без да бъдат забелязани от наличните инструменти за сигурност.
OILRIG и DNS като метод на ексфилтрация
Фактът, че Oilrig бяха една от първите APT групи, които внедриха DoH, също не е изненада.
В исторически план групата и преди се е занимавала с DNS-базирани техники за ексфилтрация. Преди да премине към използването на инструмента с отворен код DNSExfiltrator, групата използваше специално написан инструмент поне от 2018 г., наречен DNSpionage. Това се твърди в няколко доклада на Talos, NSFOCUS и Palo Alto Networks.
Отново през май от Kaspersky споменаха, че Oilrig ексфилтрира данни, използвайки DoH, към домейни свързани с COVID-19.
През същия месец Reuters съобщиха за таргетирана фишинг кампания, организирана от неидентифицирани ирански хакери. Тя е била насочена към персонала на фармацевтичния гигант Gilead. Случайно или не, по това време организацията обяви, че започва работа върху варианти за лечение на COVID-19. Не е ясно обаче дали става въпрос за едни и същи инциденти.
Различни доклади свързват повечето ирански APT групи с Ислямският революционен гвардейски корпус или накратко „Пасдаран“, което е най-високото военно образувание на Иран.
Вместо заключение
Ако сте краен потребител, определено използването на DoH би повишило вашата сигурност и поверителност, особено ако го имплементирате не само на ниво приложение (напр. браузър, операционна система и т.н.), а за цялата мрежа. От Cloudflare са изготвили наръчник на тази тема, който може да прочетете тук.
Не по същия начин стоят нещата, ако вие сте човекът, който отговаря за сигурността на цялата инфраструктура, било то в ролята на IT администратор, специалист по мрежова и информационна сигурност и т.н. Помислете добре дали искате да имплементирате DoH във вашата мрежа.
Да, от една страна ще получите „благинките“ описани по-горе, но заслужава ли си цената? А тя не е изобщо малка за преглъщане – видимостта върху DNS заявките на цялата мрежа. Все още наличните инструменти за сигурност не могат да предоставят 100% видимост на DoH заявките, което, като се вземе предвид нарастващата популярност на този протокол, определено ще се промени в бъдеще.
От SANS са написали подробен доклад на тема „Методи за увеличаване на видимостта при използването на DoH” , който много добре описва ситуацията към текущия момент.