DNS : Le moyen le plus simple d'extraire des données ?
Une requête DNS (système de noms de domaine) est le point de départ de presque tout ce qui se passe sur Internet. Il n'est donc pas surprenant que les acteurs malveillants exploitent le protocole DNS. Il existe un certain nombre de façons d'abuser du DNS, y compris l'amplification DNS, qui est utilisée pour les attaques de déni de service distribué, et le détournement de DNS, qui est utilisé pour rediriger une requête DNS inoffensive vers un domaine malveillant. L'exfiltration DNS est plus avancée, plus ciblée, et moins fréquemment observée.
Tunnellisation DNS à haut débit contre exfiltration DNS à faible débit
Bien que la technique de base utilisée à la fois pour la tunnellisation DNS à haut débit et l'exfiltration DNS à faible débit soit globalement semblable, il existe des différences significatives entre ces deux méthodes. En termes de similarités, toutes deux utilisent le protocole DNS pour transférer des données qui ne sont pas liées à la requête DNS, ce qui est réalisé en ajoutant des données supplémentaires à la requête DNS. Toutes deux tirent parti du fait que la plupart des entreprises n'interfèrent pas avec le trafic DNS en raison de son rôle critique. Mais ce sont là leurs seuls points communs.
Lorsque la tunnellisation DNS à haut débit fonctionne, un changement important se produit dans les volumes de trafic DNS vers un domaine spécifique ou vers plusieurs domaines ; la longueur de la requête DNS vers le ou les domaines augmente, et le délai entre les requêtes est plus court. La tunnellisation DNS peut être utilisée à des fins relativement inoffensives (par exemple, pour contourner un réseau Wi-Fi) ou à des fins malveillantes (par exemple, pour communiquer avec un serveur de commande et de contrôle [C2]). Toutefois, en raison de ses caractéristiques, la détection et le blocage de la tunnellisation DNS sont relativement simples.
À l'inverse, lorsqu'une exfiltration de données DNS à faible débit est en cours, il n'y a pas d'augmentation significative des volumes de trafic vers un ou plusieurs domaines, et les écarts sont plus longs entre les requêtes. Par exemple, un terminal infecté par un logiciel malveillant peut se réveiller toutes les heures uniquement et envoyer une requête DNS avec un court message ajouté à son serveur C2. Cela rend la détection de l'exfiltration DNS à faible débit extrêmement difficile, sans augmenter le nombre de fausses alertes de sécurité positives.
Pourquoi les pirates aiment-ils l'exfiltration de données à faible débit ?
Une grande limite de l'utilisation du DNS pour le transfert de données est que la longueur du message DNS est limitée à 255 octets, et qu'une grande partie de cette quantité peut être occupée par des messages de contrôle UDP. Toutefois, comme nous l'avons déjà mentionné, les entreprises hésitent à manipuler le trafic DNS, ce qui signifie souvent qu'il n'est pas surveillé. Lorsque cette surveillance existe, elle est très susceptible de ne pouvoir identifier que la tunnellisation à haut débit.
Ce scénario rend l'utilisation de l'exfiltration de données à faible débit très attrayante pour les pirates, en particulier lorsque les données extraites sont extrêmement précieuses, comme des numéros de carte de crédit. L'extraction des informations de la carte peut prendre un certain temps, mais cette approche « low-and-slow » peut en valoir la peine.
Protections contre l'exfiltration DNS
Étant donné que les programmes malveillants d'exfiltration DNS à faible débit peuvent être extrêmement dangereux et potentiellement entraîner une violation de données importante et coûteuse pour une entreprise, l'équipe de recherche sur la sécurité d'Akamai s'est récemment concentrée sur une meilleure compréhension du problème afin d'élaborer une technique de détection plus efficace. Une grande partie de cette recherche a été traitée en détail dans cet article, qui vaut la peine d'être lu si vous aussi souhaitez comprendre le sujet plus en détail.
Notre algorithme de détection de l'exfiltration des données via DNS a été mis à l'œuvre à la suite de cette recherche et a été continuellement amélioré au fil du temps, afin d'améliorer la vitesse et la précision de la détection et de minimiser les fausses alertes positives. Il est utilisé pour analyser en permanence les journaux de trafic DNS des clients qui ont déployé notre passerelle Web sécurisée dans le cloud. Lorsqu'une nouvelle détection se produit, nous alertons de manière proactive le client concerné, et les domaines associés à l'exfiltration sont ajoutés à nos informations sur les menaces afin que tous les clients soient ensuite protégés.
En avril 2022, le système a mis en évidence une instance d'exfiltration DNS qui a montré l'efficacité de l'algorithme. Il a identifié une explosion du trafic DNS vers un certain nombre de domaines dans les journaux de trafic des clients, où les données exfiltrées étaient ajoutées aux requêtes adressées aux sous-domaines. Le plus intéressant, c'est que l'algorithme a détecté cela dans la première heure d'activité, et que la détection reposait sur un nombre relativement faible de requêtes aux sous-domaines : 1 109 au total.
Lorsque les équipes de sécurité d'Akamai ont alerté le client de la détection, nous avons appris que le client avait effectué des tests de pénétration. L'équipe de sécurité a été ravie que Secure Internet Access Enterprise ait détecté le comportement d'exfiltration si rapidement.
Le DNS est-il toujours un angle mort en matière de sécurité ?
Comme mentionné précédemment, de nombreuses entreprises hésitent encore à manipuler le DNS en raison du risque de rupture involontaire du trafic Internet. Une approche permettant d'obtenir une visibilité et de sécuriser le trafic DNS sans ce risque consiste à déployer un service de sécurité DNS qui examine chaque requête DNS effectuée et les compare à une base de données d'informations sur les menaces en temps réel.
Cette approche signifie que le trafic DNS sécurisé se déroule normalement, mais que le trafic malveillant est bloqué. Plus critique encore, cela permet également d'inspecter les journaux DNS en temps quasi réel afin d'identifier l'exfiltration de données DNS à faible débit.
Requêtes DNS : Akamai détecte les aiguilles dans les bottes de foin
Chez Akamai, nous adorons les chiffres. Nous avons donc pensé qu'il serait intéressant de comparer le nombre de requêtes DNS nécessaires pour détecter l'exfiltration à d'autres statistiques d'Akamai sur le DNS. Akamai transmet chaque jour 7 000 milliards de requêtes DNS, et nos services de sécurité Internet bloquent de manière proactive 2,8 milliards de requêtes DNS malveillantes.
Autrement dit, les 1 109 requêtes DNS liées à l'exfiltration représentent 0,000000015842857 % des requêtes DNS quotidiennes et 0,00003960714286 % des requêtes DNS malveillantes : cela s'apparente à chercher une aiguille dans une botte de foin.
En savoir plus
Pour savoir comment obtenir rapidement une meilleure visibilité et un meilleur contrôle de votre trafic DNS afin de réduire les risques, rendez-vous sur https://www.akamai.com/fr/products/secure-internet-access-enterprise pour vous inscrire et bénéficier d'une période d'essai gratuite de 60 jours.
