Dalam konteks keamanan siber, pemantauan dan pertahanan terhadap ancaman dari lalu lintas jaringan sangat penting untuk melindungi infrastruktur perusahaan dan pemerintah. Di antara teknik serangan tingkat lanjut, Terowongan DNS merupakan salah satu cara paling berbahaya untuk menghindari sistem pertahanan tradisional, memanfaatkan protokol DNS untuk menyalurkan data berbahaya melalui firewall dan sistem deteksi atau untuk mencuri data rahasia atau sensitif.
Biasanya digunakan untuk menerjemahkan nama domain menjadi alamat IP, DNS dapat dimanipulasi untuk mengekstrak informasi sensitif atau menyuntikkan perintah berbahaya, tanpa terdeteksi bahkan di jaringan paling aman sekalipun.
Artikel ini membahas kerentanan yang melekat pada protokol DNS, potensi penerapannya dalam serangan APT (Ancaman Persisten Tingkat Lanjut) dan tindakan pencegahan yang paling efektif untuk mendeteksi dan menanggulangi jenis ancaman ini. Melalui analisis contoh dunia nyata dan teknik pemantauan terbaru, kami akan memeriksa alat yang dibutuhkan untuk melindungi jaringan modern dari serangan canggih yang menggunakan DNS sebagai vektor utama.
Teknik dari Terowongan DNS telah muncul sebagai ancaman signifikan seiring berkembangnya serangan siber. Contoh yang terkenal adalah yang terkait dengan kelompok APT28, suatu kelompok yang terkait dengan peretasan jaringan pemerintah, yang sering menggunakan serangan ini untuk mencuri data tanpa terdeteksi. Demikian pula dengan kampanye malware bagaimana FeederBot dan Dnscat2 memanfaatkan teknik ini untuk membangun komunikasi persisten dengan server perintah dan kontrol (C2).
Serangan-serangan ini menunjukkan bagaimana DNS, yang penting bagi berfungsinya Internet, dapat menjadi saluran berbahaya jika digunakan secara tidak tepat.
Penjelasan teknis tentang serangan tersebut
Serangan tunneling DNS mengeksploitasi protokol DNS, yang terutama dirancang untuk resolusi nama domain, untuk mengangkut data berbahaya atau mencuri data sensitif dengan cara yang tidak sah.
Protokol DNS, biasanya digunakan melalui protokol UDP (User Datagram Protocol), memiliki struktur yang terdiri dari header (12 byte) dan beberapa bagian, termasuk "Query" dan "Answer". Bidang "Nama" di Bagian Pertanyaan dan bidang "Data Sumber Daya" di Bagian Jawaban Mereka sering digunakan untuk merangkum data.
Ukuran total paket DNS UDP standar dibatasi hingga 512 byte, tetapi sebagian besar ditempati oleh metadata protokol. Oleh karena itu, data yang dapat diangkut dalam satu paket berjumlah sekitar 200-255 byte. Jika DNS melalui TCP digunakan (pilihan yang kurang umum), ukuran maksimumnya bisa mencapai 65.535 byte, tetapi dengan risiko deteksi yang meningkat.
Struktur paket DNS:
-----------------------------------
Header : 96bit
-----------------------------------
Bagian Pertanyaan : Panjangnya bervariasi
----------------------------------
Bagian Jawaban : Panjangnya bervariasi
----------------------------------
Otoritas : Panjangnya bervariasi
----------------------------------
Tambahan : Panjang variabel
----------------------------------
Jumlah data yang diangkut bergantung pada kecepatan paket dan kapasitas pengangkutan per paket. Dalam waktu satu jam, terjadi serangan Terowongan DNS pengiriman 10 paket per detik dengan intensitas rendah dapat menyerap sekitar 7-10 MB data. Serangan yang lebih agresif, yang meningkatkan jumlah paket yang dikirimkan, dapat mentransfer hingga puluhan megabita, tetapi berisiko menarik perhatian sistem pemantauan.
Kemampuan untuk mengodekan data dalam lalu lintas DNS, dipadukan dengan teknik kompresi dan pengaburan, membuat penyaluran DNS sulit dideteksi, sehingga memerlukan tindakan pencegahan tingkat lanjut untuk mengidentifikasi dan memblokirnya.
Selain DNS melalui UDP dan DNS melalui TCP, ada beberapa varian dan fitur protokol DNS yang memungkinkan ukuran lebih besar, seperti EDNS (Mekanisme ekstensi untuk DNS).
Dengan diperkenalkannya EDNS (RFC 6891), batas 512 byte juga dapat diatasi untuk UDP, yang memungkinkan paket yang lebih besar (hingga 4096 byte atau lebih, tergantung pada konfigurasinya). Ini dimaksudkan untuk mendukung fitur-fitur lanjutan, seperti DNSSEC (Ekstensi Nama Domain Sistem Keamanan, ekstensi keamanan), tetapi dapat dimanfaatkan oleh penyerang untuk meningkatkan kapasitas transportasi data penerowongan tanpa harus menggunakan TCP.
Tentu saja, konfigurasi jaringan, firewall dan sistem pemantauan canggih dapat disiapkan untuk mendeteksi dan mengurangi lalu lintas anomali yang terkait dengan teknik ini.
Implikasi keamanan dan cara mengurangi risiko
Il Terowongan DNS Ini merupakan ancaman serius terhadap keamanan organisasi, pada kenyataannya, berkat karakteristiknya, hal ini memungkinkan:
- pencurian data: informasi sensitif dapat dicuri tanpa peringatan;
- melewati pertahanan: firewall dan sistem pemantauan sering kali tidak menganalisis lalu lintas DNS secara mendalam, yang dapat memungkinkan kode berbahaya disuntikkan ke dalam sistem;
- Detektorabilitas rendah: DNS Tunneling menggunakan komunikasi yang dienkripsi atau dikaburkan, sehingga sulit membedakan lalu lintas yang sah dari lalu lintas berbahaya.
Kompleksitas serangan berarti bahwa perlindungan yang efektif memerlukan kombinasi alat dan praktik terbaik, termasuk:
- pemantauan tingkat lanjut: menganalisis lalu lintas DNS untuk mengidentifikasi pola anomali, seperti volume permintaan yang berlebihan atau nama domain yang mencurigakan;
- pemeriksaan mendalam: menerapkan sistem pemeriksaan paket DNS, mencari nama domain yang panjang atau struktur yang tidak biasa;
- Penyaringan DNS: memblokir permintaan ke server DNS yang tidak sah atau tidak dikenal;
- pelatihan khusus untuk staf teknis.
Mari kita lihat beberapa praktik terbaik ini secara mendetail.
Pemantauan lanjutan
Pemantauan lalu lintas DNS tingkat lanjut sangat penting untuk mendeteksi dan memitigasi Terowongan DNS. Untuk menganalisis dan memblokir aktivitas mencurigakan, Anda perlu menggabungkan alat khusus dengan pendekatan strategis. Solusi seperti Informasi Keamanan dan Manajemen Acara (SIEM) memungkinkan Anda mengumpulkan dan menganalisis data dalam jumlah besar untuk mengidentifikasi anomali sementara teknologi keamanan Analisis Lalu Lintas Jaringan (NTA) dapat mendeteksi pola yang tidak biasa dalam lalu lintas DNS, seperti permintaan yang berlebihan atau nama domain yang tidak lazim.
Menggunakan sistem deteksi intrusi (IDS) dengan kemampuan analisis DNS dapat menambahkan lapisan keamanan tambahan. Solusi perlindungan khusus DNS juga menawarkan penyaringan berbasis reputasi dan permintaan pemblokiran ke domain yang mencurigakan atau tidak dikenal. Integrasi alat Mesin belajar memungkinkan identifikasi perilaku jahat berdasarkan model adaptif.
Pendekatan lain adalah adopsi Firewall Keamanan DNS, perangkat yang memungkinkan Anda memfilter dan memblokir permintaan ke domain yang mencurigakan, mencegah komunikasi dengan server perintah dan kontrol (C2). Alat-alat ini memungkinkan Anda menganalisis kueri DNS secara terperinci dan mendeteksi anomali dalam lalu lintas.
Pemantauan yang efektif juga bergantung pada konfigurasi dasar dan peringatan yang akurat serta tinjauan log secara berkala.
Inspeksi paket DNS yang mendalam
L'Inspeksi paket DNS yang mendalam (DPI) adalah teknik penting untuk mendeteksi Terowongan DNS dan ancaman terkait lalu lintas DNS lainnya. Disebut demikian untuk membedakannya dari teknik analisis lalu lintas tradisional, yang tidak memeriksa isi paket, tetapi hanya memeriksa header. Praktik terbaik untuk DPI yang efektif mencakup pemantauan ukuran bagian Kueri dan Jawaban, karena paket yang tidak normal atau terlalu besar dapat menyembunyikan data berbahaya.
Langkah penting lainnya adalah menganalisis nama domain, karena domain yang digunakan dalam tunneling sering kali memiliki pola aneh atau panjang yang melampaui batas standar.
Pelatihan staf teknis sangat penting untuk mengurangi risiko serangan Terowongan DNS. Administrator jaringan dan sistem memerlukan pelatihan yang difokuskan pada alat pemantauan lalu lintas DNS, teknik deteksi anomali, dan kebijakan manajemen lalu lintas DNS. Pelatihan mereka harus mencakup penerapan filter DNS dan penggunaan sistem deteksi intrusi (IDS). Persiapan administrator yang terarah, dikombinasikan dengan kesadaran umum, merupakan strategi yang efektif untuk mengurangi risiko serangan DNS dan meningkatkan keamanan secara keseluruhan.
Kesimpulan
Il Terowongan DNS merupakan salah satu ancaman paling berbahaya dan sulit dideteksi dalam lanskap keamanan siber saat ini. Dengan memanfaatkan kepercayaan tradisional yang ditempatkan pada lalu lintas DNS, penyerang dapat menghindari pertahanan tradisional, mengambil data sensitif, dan membangun komunikasi terus-menerus tanpa menimbulkan kecurigaan. Pemahaman teknis tentang Terowongan DNS dan kesadaran akan metodenya sangat penting untuk melindungi jaringan perusahaan dan pemerintah dari serangan canggih ini.
Untuk melawan ancaman ini secara efektif, penting untuk mengadopsi pendekatan proaktif yang memadukan pemantauan tingkat lanjut, pemeriksaan mendalam, dan pelatihan personel yang berkelanjutan. Hanya strategi pertahanan berlapis yang dapat memastikan perlindungan efektif terhadap teknik yang semakin canggih. Terowongan DNS.
Keamanan siber merupakan proses yang terus berkembang, dan dalam lanskap ancaman yang terus berkembang pesat, memperbarui pertahanan Anda secara terus-menerus adalah satu-satunya cara untuk tetap unggul terhadap para penyerang.
Untuk mempelajari lebih lanjut:
- https://support.huawei.com/enterprise/en/doc/EDOC1100174721/f917b5d7/dns
- https://www.fortinet.com/it/resources/cyberglossary/dns-security
- https://flashstart.com/it/dns-security-perche-e-fondamentale-per-protegg...
