Advisory

DNS Tunneling for Tracking & Network Scanning

May 17, 2024

Deskripsi

1

Domain Name System (DNS) tunneling merupakan Teknik yang digunakan oleh threat actors untuk dapat terhubung dalam jaringan menggunakan protocol DNS. Mekanisme encode pada protokol, membantu hacker melewati firewall dan pembatasan lainnya. Baru-baru ini peneliti menemukan dua jenis serangan terkoordinasi melibatkan teknik DNS tunneling.

Metode Serangan

2
  1. TrkCDN Campaign
    a. Kampanye TrkCdn berfokus pada pelacakan interaksi korban dengan konten email phishing.
    b. Link pada email phishing, ketika dibuka, akan melakukan permintaan DNS ke subdomain malicious milik penyerang.

  2. SecShow Campaign
    a. Kampanye SecShow menggunakan DNS tunneling untuk memindai infrastruktur jaringan.
    b. Para penyerang menyematkan alamat IP dan timestamp ke dalam permintaan DNS.

 

Mitigasi

  1. Monitoring dan aktivasi fitur deteksi anomaly pada perangkat security terkait penanganan trafik DNS.
  2. Security awareness terkait email phising untuk tidak membuka email dengan isi / tautan yang mencurigakan.
  3. Blocking IOC domain berbahaya (Sumber referensi nomor 2)
3

 

Source:

  1. https://www.bleepingcomputer.com/news/security/hackers-use-dns-tunneling-for-network-scanning-tracking-victims
  2. https://unit42.paloaltonetworks.com/three-dns-tunneling-campaigns/

Categories

Categories

Advisory
Awareness

Recent posts

Recent posts