Penjahat siber lacak korban dengan DNS untuk mengetahui kapamn korban mereka memakan umpan yang mereka kirim melalui email.
Pelaku menggunakan tunneling Domain Name System (DNS) untuk melacak kapan target mereka membuka email phising dan mengklik tautan berbahaya, dan untuk memindai jaringan untuk mencari potensi kerentanan.
Tunneling DNS adalah pengkodean data atau perintah yang dikirim dan diambil melalui kueri DNS, yang pada dasarnya mengubah DNS, komponen komunikasi jaringan mendasar, menjadi saluran komunikasi rahasia.
Baca juga: Favorit Penjahat Siber |
Tunneling DNS
Pelaku mengkodekan data dengan berbagai cara, seperti Base16 atau Base64 atau algoritme pengkodean tekstual khusus, sehingga data tersebut dapat dikembalikan saat menanyakan data DNS, seperti data TXT, MX, CNAME, dan Alamat.
Peretas biasanya menggunakan tunneling DNS untuk:
- Melewati firewall
- Menerobos filter jaringan.
- Untuk operasi Command and Control (C2)
- Virtual Private Network (VPN)
Baru-baru ini menemukan penggunaan tambahan tunneling DNS dalam operasi siber berbahaya yang melibatkan pelacakan korban dan pemindaian jaringan.
Operasi Pelacakan TrkCdn
Operasi pertama, yang dilacak sebagai “TrkCdn”, berfokus pada pelacakan interaksi korban dengan konten email phishing.
Pelaku menyematkan konten dalam email yang, ketika dibuka, melakukan kueri DNS ke subdomain yang dikontrol penyerang yang FQDN-nya berisi konten yang disandikan.
Misalnya, 4e09ef9806fb9af448a5efcd60395815.trk.simitor[.]com. dengan 4e09ef9806fb9af448a5efcd60395815 menjadi hash md5 dari unit42@not-a-real-domain[.]com, yang menghasilkan CNAME ke server nama otoritatif utama.
Oleh karena itu, meskipun FQDN berbeda-beda di berbagai target, semuanya diteruskan ke alamat IP yang sama yang digunakan oleh cdn.simitor[.]com.
Server nama otoritatif ini kemudian mengembalikan hasil DNS yang mengarah ke server yang dikendalikan penyerang yang mengirimkan konten yang dikendalikan pelaku. Konten ini dapat mencakup iklan, spam, atau konten phising.
Pendekatan ini memungkinkan penyerang mengevaluasi strategi mereka, menyempurnakannya, dan mengonfirmasi pengiriman muatan berbahaya kepada korbannya.
Laporan lain juga menyoroti operasi serupa yang menggunakan terowongan DNS untuk melacak pengiriman pesan spam, yang disebut “SpamTracker”.
Baca juga: Kredensial Penjahat Siber Bobol |
Operasi SecShow
Operasi kedua yang ditemukan oleh para analis, dengan nama sandi “SecShow”, menggunakan tunneling DNS untuk memindai infrastruktur jaringan.
Pelaku menyematkan alamat IP dan stempel waktu ke dalam kueri DNS untuk memetakan tata letak jaringan dan menemukan potensi kelemahan konfigurasi yang dapat dieksploitasi untuk infiltrasi, pencurian data, atau penolakan layanan.
Kueri DNS yang digunakan dalam kampanye ini diulang secara berkala untuk mengaktifkan pengumpulan data waktu nyata, mendeteksi perubahan status, dan menguji respons berbagai bagian jaringan terhadap permintaan DNS yang tidak diminta.
Pelaku ancaman memilih terowongan DNS dibandingkan metode yang lebih tradisional seperti piksel pelacakan dan alat pemindaian jaringan biasa karena beberapa alasan, termasuk kemampuan untuk melewati alat keamanan, menghindari deteksi, dan menjaga fleksibilitas operasional.
Unit 42 mengusulkan agar organisasi menerapkan alat pemantauan dan analisis DNS untuk memantau dan menganalisis log untuk pola lalu lintas dan anomali yang tidak biasa, seperti permintaan yang tidak lazim atau bervolume tinggi.
Selain itu, disarankan untuk membatasi penyelesai DNS di jaringan agar hanya menangani kueri yang diperlukan, sehingga mengurangi potensi penyalahgunaan terowongan DNS.
Demikian ulasan mengenai penjahat siber lacak korban dengan DNS, semoga informasi yang disajikan tersebut dapat menambah wawasan dan bermanfaat.
Sumber berita: