威胁狩猎:DNS 隧道技术用于掩藏C2和VPN以及扩大用户跟踪和网络扫描的范围
字数 1679 2025-08-19 12:41:16

DNS隧道技术深度解析:从原理到实战防御

一、DNS隧道技术概述

DNS隧道是一种将其他协议或数据封装在DNS协议中进行传输的技术,主要用于绕过网络限制实现隐蔽通信。攻击者利用DNS查询和响应报文中的特定字段来封装传输数据,建立隐蔽通信通道。

1.1 基本工作原理

  1. 通信流程

    • 攻击者注册恶意域名(如male[.]site)
    • 设置使用DNS隧道作为通信通道的C2服务器
    • 恶意软件将数据编码到子域名中(如<encoded_data>.malicious.com
    • 受感染主机向DNS解析器发送查询
    • 权威DNS服务器接收并解码查询中的信息

  2. 隐蔽性三大因素

    • UDP 53端口流量通常被允许通过防火墙
    • 客户端不直接与攻击者服务器通信,而是通过DNS解析器间接通信
    • 使用自定义编码方法将数据隐藏在看似合法的DNS流量中

二、DNS隧道的攻击应用场景

2.1 传统应用

  1. 命令与控制(C2)

    • 著名攻击活动:DarkHydrus、OilRig、xHunt、SUNBURST、Decoy Dog
    • 常用DNS记录类型:A、AAAA、MX、CNAME、TXT

  2. VPN绕过

    • 用于绕过互联网审查或网络服务费用
    • 商业VPN供应商可能使用此技术

2.2 新型应用案例

2.2.1 用户行为跟踪(TrkCdn活动)

  1. 技术实现

    • 将受害者信息编码在子域名中(如MD5哈希)
    • 使用通配符DNS记录将所有子域重定向到同一IP
    • 示例配置: 
      simitor[.]com A 193.9.114[.]43
*.trk.simitor[.]com CNAME cdn.simitor[.]com

  2. 跟踪机制

    • 通过电子邮件嵌入触发链接
    • 受害者点击或自动加载时生成DNS查询
    • 攻击者从DNS日志提取访问信息

  3. 活动特征

    • 使用75个IP作为名称服务器,解析658个域名
    • 域名组合方式:两个或三个原始单词组合(如simitor[.]com)
    • 典型生命周期:潜伏期(2-12周)→活跃期(2-3周)→随访期(9-11月)→退休期

2.2.2 垃圾邮件追踪(SpamTracker活动)

  1. 运作方式

    • 通过垃圾邮件诱导点击含跟踪信息的链接
    • 使用35.75.233[.]210作为权威名称服务器IP
    • 主要针对日本教育机构

  2. 攻击主题

    • 算命服务
    • 假包裹递送更新
    • 兼职招聘
    • 免费物品赠送

2.2.3 网络扫描(SecShow活动)

  1. 扫描目标

    • 查找开放解析器
    • 测试解析器延迟
    • 获取TTL信息
    • 探测解析器漏洞

  2. 技术实现

    • 使用202.112.47[.]45作为名称服务器IP
    • 四种典型扫描模式:
      • IP地址编码扫描(如bc2874fb-1.c.secshow[.]net
      • 定时扫描(如20240212190003.bailiwick.secshow[.]net
      • TTL探测(如1-103-170-192-121-103-170-192-9.h.secshow[.]net
      • DNS安全扩展测试(如0-53ea2a3a-202401201-ans-dnssec.l-test.secdns[.]site

三、DNS隧道检测与防御

3.1 检测指标

  1. 流量特征

    • 异常高的DNS查询频率
    • 长且随机的子域名
    • 非常规DNS记录类型的大量查询
    • 非常规TTL设置

  2. 域名特征

    • 新注册的域名
    • DGA生成的域名
    • 多个域名共享同一组名称服务器

3.2 防御措施

  1. 网络层防御

    • 限制外部DNS查询,只允许授权DNS服务器
    • 实施DNS查询速率限制
    • 监控和过滤异常DNS流量模式

  2. 解析器加固

    • 及时更新DNS解析器软件
    • 禁用递归查询除非必要
    • 配置DNS缓存限制

  3. 组织策略

    • 实施DNSSEC验证
    • 建立DNS流量基线,检测异常
    • 员工安全意识培训(特别是防范钓鱼邮件)

四、IoC指标

4.1 恶意域名

85hsyad6i2ngzp[.]com
8egub9e7s6cz7n[.]com
secshow[.]net
secshow[.]online
secdns[.]site
...(完整列表见原文)

4.2 恶意IP

35.75.233[.]210
202.112.47[.]45
193.9.114[.]43
172.234.25[.]151

五、总结

DNS隧道技术已从传统的C2通信发展为多用途攻击工具,包括用户跟踪、网络扫描等新型应用。防御者需要:

  1. 深入了解DNS隧道技术原理
  2. 建立全面的DNS流量监控体系
  3. 及时更新防御策略应对新型攻击手法
  4. 共享威胁情报,提高整体防御能力

通过技术手段与管理措施相结合,才能有效防御日益复杂的DNS隧道攻击。

DNS隧道技术深度解析:从原理到实战防御 一、DNS隧道技术概述 DNS隧道是一种将其他协议或数据封装在DNS协议中进行传输的技术,主要用于绕过网络限制实现隐蔽通信。攻击者利用DNS查询和响应报文中的特定字段来封装传输数据,建立隐蔽通信通道。 1.1 基本工作原理 通信流程 : 攻击者注册恶意域名(如male[ . ]site) 设置使用DNS隧道作为通信通道的C2服务器 恶意软件将数据编码到子域名中(如 <encoded_data>.malicious.com ) 受感染主机向DNS解析器发送查询 权威DNS服务器接收并解码查询中的信息 隐蔽性三大因素 : UDP 53端口流量通常被允许通过防火墙 客户端不直接与攻击者服务器通信,而是通过DNS解析器间接通信 使用自定义编码方法将数据隐藏在看似合法的DNS流量中 二、DNS隧道的攻击应用场景 2.1 传统应用 命令与控制(C2) : 著名攻击活动:DarkHydrus、OilRig、xHunt、SUNBURST、Decoy Dog 常用DNS记录类型:A、AAAA、MX、CNAME、TXT VPN绕过 : 用于绕过互联网审查或网络服务费用 商业VPN供应商可能使用此技术 2.2 新型应用案例 2.2.1 用户行为跟踪(TrkCdn活动) 技术实现 : 将受害者信息编码在子域名中(如MD5哈希) 使用通配符DNS记录将所有子域重定向到同一IP 示例配置: 跟踪机制 : 通过电子邮件嵌入触发链接 受害者点击或自动加载时生成DNS查询 攻击者从DNS日志提取访问信息 活动特征 : 使用75个IP作为名称服务器,解析658个域名 域名组合方式:两个或三个原始单词组合(如simitor[ . ]com) 典型生命周期:潜伏期(2-12周)→活跃期(2-3周)→随访期(9-11月)→退休期 2.2.2 垃圾邮件追踪(SpamTracker活动) 运作方式 : 通过垃圾邮件诱导点击含跟踪信息的链接 使用35.75.233[ . ]210作为权威名称服务器IP 主要针对日本教育机构 攻击主题 : 算命服务 假包裹递送更新 兼职招聘 免费物品赠送 2.2.3 网络扫描(SecShow活动) 扫描目标 : 查找开放解析器 测试解析器延迟 获取TTL信息 探测解析器漏洞 技术实现 : 使用202.112.47[ . ]45作为名称服务器IP 四种典型扫描模式: IP地址编码扫描(如 bc2874fb-1.c.secshow[.]net ) 定时扫描(如 20240212190003.bailiwick.secshow[.]net ) TTL探测(如 1-103-170-192-121-103-170-192-9.h.secshow[.]net ) DNS安全扩展测试(如 0-53ea2a3a-202401201-ans-dnssec.l-test.secdns[.]site ) 三、DNS隧道检测与防御 3.1 检测指标 流量特征 : 异常高的DNS查询频率 长且随机的子域名 非常规DNS记录类型的大量查询 非常规TTL设置 域名特征 : 新注册的域名 DGA生成的域名 多个域名共享同一组名称服务器 3.2 防御措施 网络层防御 : 限制外部DNS查询,只允许授权DNS服务器 实施DNS查询速率限制 监控和过滤异常DNS流量模式 解析器加固 : 及时更新DNS解析器软件 禁用递归查询除非必要 配置DNS缓存限制 组织策略 : 实施DNSSEC验证 建立DNS流量基线,检测异常 员工安全意识培训(特别是防范钓鱼邮件) 四、IoC指标 4.1 恶意域名 4.2 恶意IP 五、总结 DNS隧道技术已从传统的C2通信发展为多用途攻击工具,包括用户跟踪、网络扫描等新型应用。防御者需要: 深入了解DNS隧道技术原理 建立全面的DNS流量监控体系 及时更新防御策略应对新型攻击手法 共享威胁情报,提高整体防御能力 通过技术手段与管理措施相结合,才能有效防御日益复杂的DNS隧道攻击。