[译文] 恶意代码分析：3.利用DNS隧道进行跟踪和扫描

• 原文标题：《Leveraging DNS Tunneling for Tracking and Scanning》
• 原文链接：https://unit42.paloaltonetworks.com/three-dns-tunneling-campaigns/
• 文章作者：Shu Wang, Ruian Duan and Daiping Liu
• 发布时间：2024年5月13日
• 文章来源：https://unit42.paloaltonetworks.com
• 文章类型：Malware
• 关键标签：Advanced WildFire, Cortex XDR, DNS security, dns tunneling, next-generation firewall, Prisma Cloud

一.执行摘要

本文深入探讨了我们在真实环境中所发现的域名系统（domain name system，DNS）隧道（Tunneling）技术的全新应用案例。这些技术不局限于命令与控制（command and control，C2）和虚拟私人网络（virtual private network，V*N）的DNS隧道，其应用范围更为广泛。

恶意攻击者有时会利用DNS隧道作为隐蔽通信的渠道，因为它能够绕过传统的网络防火墙。这使得C2通信和数据泄露能够避开一些传统的检测方法，从而保持隐蔽性。

然而，我们最近检测到三起近期利用DNS隧道技术进行的非传统C2（命令与控制）和V*N（虚拟私人网络）用途的活动：

• 扫描（scanning）： 在扫描过程中，攻击者利用DNS隧道技术扫描受害者的网络基础设施，并收集对未来攻击有用的信息。
• 追踪（tracking）： 在追踪过程中，攻击者则运用DNS隧道技术来追踪恶意电子邮件的发送，并监控内容分发网络（Content Delivery Networks，CDN）的使用情况。

本文提供了一个详细的案例研究，揭示了攻击者如何利用DNS隧道技术进行扫描和追踪。我们的目标是提高对这些新用例的认识，并提供进一步的见解，以帮助安全专家更好地保护他们的网络。

我们已构建了一个用于监控DNS隧道传输的系统，并将此检测功能嵌入到我们的DNS安全解决方案中。Palo Alto Networks下一代防火墙客户可以通过我们的DNS安全订阅访问此功能，以帮助保护其环境免受此类恶意活动的侵害。此外，客户还可通过高级URL过滤订阅获得针对本文中讨论的威胁的保护。下面介绍UNIT42的产品：

• Cortex XDR客户通过我们的Cortex XDR分析引擎获得针对本文中提及的DNS隧道传输技术的保护。
• 针对本研究中共享的IoC（Indicator of Compromise，入侵指标），我们已对Advanced WildFire机器学习模型和分析技术进行了审查和更新。
• Prisma Cloud可保护云环境以免受本文提及的DNS隧道传输技术的侵害。

Related Unit 42 Topics：

• DNS Tunneling：https://unit42.paloaltonetworks.com/tag/dns-tunneling
• DNS Security：https://unit42.paloaltonetworks.com/tag/dns-security

二.DNS隧道

DNS隧道传输技术通过将信息嵌入到DNS请求和响应中的方式，使得受攻击的主机能够通过DNS流量与攻击者控制的服务器进行通信。 图1给出了DNS隧道传输中数据外泄与渗透的基本流程。

DNS隧道传输的一个典型用例包括以下步骤：

• 攻击者首先注册一个恶意域名，如malicious[.]site，然后建立一个C2（Command and Control，命令与控制）服务器，利用DNS隧道传输作为通信通道。攻击者通过多种设置此C2通道的选项发起攻击，例如滥用Cobalt Strike等工具。
• 攻击者可以创建、开发或获取与服务器通信的恶意软件作为客户端，并将此恶意软件发送到受攻击的客户端机器上。
• 受攻击的机器通常位于防火墙之后，无法直接与攻击者的服务器进行通信。然而，恶意软件可以将数据编码到 malicious[.]site 的子域名中，并向DNS解析器发起DNS查询，如图1所示。
• 由于隧道传输完全限定域名（FQDNs）的独特性质，DNS解析器无法从其缓存中找到相应的记录。因此，解析器将向根服务器、顶级域名（TLD）服务器以及攻击者控制的该域名权威服务器发起递归DNS查询。
• 攻击者可以从DNS流量中获取解码后的数据，并操纵DNS响应以向客户端渗透恶意数据。

1.DNS 隧道如何隐藏？

DNS隧道传输之所以具有隐蔽性，主要基于以下三个因素：

• 首先，传统的防火墙可以拒绝未经授权的流量。然而，通过用户数据报协议（User Datagram Protocol，UDP）53端口的DNS流量是普遍存在的，并且通常被防火墙和其他网络安全措施所允许。
• 其次，DNS隧道传输通过在被感染客户端和攻击者服务器之间建立的逻辑通道进行，采用DNS协议实现。这意味着客户端机器并不直接与攻击者服务器通信，从而增加了另一层隐蔽性。
• 最后，攻击者通常在数据外泄和渗透过程中使用自定义的编码方式，将数据伪装在看似合法的DNS流量。

2.对手如何利用 DNS 隧道？

使用DNS隧道进行C2（命令与控制）传输，旨在使得攻击者能够建立隐蔽且稳定的通信通道，便于进行恶意活动，如数据外泄和渗透。知名攻击事件如DarkHydrus、OilRig、xHunt、SUNBURST和Decoy Dog等都利用DNS隧道进行C2通信。

攻击者所使用的DNS类型包括：

• IPv4 (A)
• IPv6 (AAAA)
• Mail exchange (MX)
• Canonical name (CNAME)
• Text (TXT) records

部分V*N供应商也出于合法目的使用DNS隧道技术，例如绕过防火墙以避免互联网审查或网络服务费用。

除了C2和V*N目的外，攻击者还可以利用DNS隧道技术进行追踪和扫描，正如我们在最近的隧道技术活动中所观察到的那样。

• DNS隧道追踪（DNS tunneling for tracking） 攻击者可以通过与垃圾邮件、网络钓鱼或广告内容相关的活动来追踪受害者的行为。他们通过向受害者传递恶意域名，并将他们的身份信息编码在子域载荷中来实现这一点。
• DNS隧道扫描（DNS tunneling for scanning） 攻击者可以通过在隧道载荷中编码IP地址和时间戳，并使用伪造的源IP地址来扫描网络基础设施。然后，攻击者能够发现开放的解析器，从而利用解析器的漏洞执行DNS攻击——这可能导致恶意重定向或服务拒绝。

为了更好地理解这两种新的应用场景，我们将在下一节中探讨所发现的利用DNS隧道进行追踪和扫描的活动。

三.跟踪DNS隧道

在传统的C2通信中，为了追踪受害者的行为，威胁攻击者的恶意软件会将用户行为的数据嵌入到URL中，并通过网络流量将这些URL传输到C2服务器。在DNS隧道技术中，攻击者通过使用DNS流量中的子域名来实现相同的效果。

在DNS隧道技术的这种应用中，攻击者的恶意软件将特定用户及其行为的信息嵌入到DNS查询的唯一子域名中。这个子域名就是隧道载荷，而FQDN的DNS查询则使用攻击者控制的域名。

攻击者控制的域名的权威服务器（authoritative nameserver）会接收DNS查询。这个攻击者控制的名称服务器会存储该域名的所有DNS查询。这些DNS查询的唯一子域名和时间戳提供了受害者活动的日志。这不仅仅局限于单个受害者，攻击者可以利用它来追踪其活动中涉及的多个受害者。

1.TrkCdn DNS隧道攻击活动

鉴于DNS隧道技术的域名特征，我们将此次活动命名为“TrkCdn”。通过分析，我们认为TrkCdn活动中使用的DNS隧道技术旨在追踪受害者与其电子邮件内容的交互。我们的数据显示，攻击者针对了731名潜在受害者。此次活动使用了75个IP地址作为名称服务器，解析了658个由攻击者控制的域名。

每个域名仅使用一个名称服务器IP地址，而一个名称服务器IP地址最多可以为123个域名提供服务。这些域名使用相同的DNS配置和子域名编码方法。攻击者在 [.]com 或 [.]info 顶级域名（TLDs）下注册了所有域名，并通过组合两个或三个词根来设置域名，这是攻击者为避免域名生成算法（domain generation algorithm，DGA）检测而采用的一种做法。

这些域名的一个子集如下：

• simitor[.]com
• vibnere[.]com
• edrefo[.]com
• pordasa[.]info
• vitrfar[.]info
• frotel[.]info

表1中列出了这些域名的列表，以及FQDN示例、名称服务器、名称服务器IP地址和注册日期。由于此活动仅在trk子域下利用DNS隧道技术，并在cdn子域下配置了一个CNAME记录，因此我们将其命名为TrkCdn活动。

2.追踪机制

我们认为，在TrkCdn活动中所使用的DNS隧道技术旨在追踪受害者与其电子邮件内容的交互。通过对 simitor[.]com 的DNS流量分析，揭示了攻击者如何实现这一目标。

在此，我们仅展示该隧道域名所使用与追踪相关的DNS配置。IP地址 193.9.114[.]43 被用作根域名、名称服务器以及 cdn.simitor[.]com 的同一IP地址。这种行为是隧道域名的常见特征，因为攻击者需要为自己构建名称服务器，同时试图降低攻击成本。因此，他们通常仅使用一个IP地址来托管域名和名称服务器。

所有 *.trk.simitor[.]com 都通过以下所示的通配符DNS记录重定向到 cdn.simitor[.]com。

simitor[.]com A 193.9.114[.]43

ns1.simitor[.]com A 193.9.114[.]43

ns2.simitor[.]com A 193.9.114[.]43

cdn.simitor[.]com A 193.9.114[.]43

*.trk.simitor[.]com CNAME cdn.simitor[.]com

在TrkCdn活动中，MD5哈希值代表DNS流量中的电子邮件地址。这些MD5值作为隧道载荷DNS查询的子域名。例如，电子邮件地址 unit42@not-a-real-domain[.]com的 MD5值为 4e09ef9806fb9af448a5efcd60395815。因此，针对隧道载荷的DNS查询的完全限定域名（FQDN）将是：

• 4e09ef9806fb9af448a5efcd60395815.trk.simitor[.]com

针对这些FQDN的DNS查询可以作为威胁攻击者发送电子邮件的追踪机制。例如，如果受害者打开这些电子邮件，或者受害者可能会点击电子邮件中的链接，嵌入的内容可能会自动生成DNS查询。无论发生何种情况，在受感染的主机为FQDN生成DNS查询后，DNS解析器将联系FQDN的权威名称服务器的IP地址。由于其通配符配置，受害者的DNS解析器将获得以下结果：

4e09ef9806fb9af448a5efcd60395815.trk.simitor[.]com. 3600 IN CNAME cdn.simitor[.]com.

cdn.simitor[.]com. 555 IN A 193.9.114[.]43

因此，尽管不同目标的FQDN（完全限定域名）各不相同，但它们都被转发到 cdn.simitor[.]com 所使用的同一IP地址。然后，这个权威名称服务器返回一个DNS结果，该结果指向由攻击者控制的服务器，该服务器提供攻击者控制的内容。这些内容可能包括广告、垃圾邮件或网络钓鱼内容。

为了追踪目的，攻击者可以从其权威名称服务器查询DNS日志，并将载荷与电子邮件地址的哈希值进行比较。通过这种方式，攻击者可以知道特定受害者何时打开他们的电子邮件或点击链接，并监控活动效果。

例如，图2展示了TrkCdn活动中FQDN的DNS查询的累积分布函数（CDF）图。该图显示了从0到30天内TrkCdn FQDN的DNS查询总百分比。图表显示，大约80%的受害者仅查看一次活动的电子邮件，而另外10%的受害者在大约一周内再次查看这些消息。攻击者可以以相同的方式从其权威名称服务器查看此FQDN数据。

3.域生命周期

通过对较旧的域名 pordasa[.]info 调查，我们得出结论：TrkCdn域名的生命周期经历了四个不同的阶段。这四个阶段如下：

• 孵化阶段（2至12周） 在域名注册后，攻击者仅配置DNS设置，不进行其他任何操作，试图避免新注册的恶意域名被检测。
• 活跃阶段（2至3周） 攻击者积极向相应的受害者电子邮件地址分发数千个FQDN（完全限定域名）。
• 追踪阶段（9至11个月） 受害者查询FQDN，而攻击者通过获取DNS日志来追踪他们的行为。
• 停用阶段（注册后一年） 攻击者通常在一年后停止更新域名注册。

下图3展示了 pordasa[.]info 域名生命周期的一个示例。攻击者使用这个域名进行DNS隧道式追踪，最初于2022年10月12日注册。

4.TrkCdn持久性

直至2024年2月，我们发现攻击者正在使用新的IP地址并注册与TrkCdn活动相关的新域名作为其权威名称服务器。这些域名在2020年10月19日至2024年1月2日之间被注册。我们分析了这些域名的注册时间线和在不同IP地址上的首次使用情况。

图4追踪了与49个IP地址相关联的TrkCdn域名的使用情况。如图4所示，用于TrkCdn权威名称服务器的大多数IP地址位于 185.121.0[.]0/16 或 146.70.0[.]0/16 子网中。这表明TrkCdn背后的威胁行为者倾向于使用特定的托管提供商。

下图即为TrkCdn域名注册和跨不同IP地址使用的时间对照表。

5.SpamTracker DNS隧道攻击活动

我们的第二个案例是一个利用DNS隧道技术追踪垃圾邮件发送的活动。由于该活动使用DNS隧道技术进行垃圾邮件追踪，我们将其简称为“SpamTracker”。

该活动采用与TrkCdn活动相似的追踪机制。此活动与44个隧道域名相关，这些域名的权威名称服务器IP地址为 35.75.233[.]210。

这些域名与TrkCdn活动采用了相同的DGA命名方法和子域名编码方法。这些域名的A记录的名称服务器托管在属于 103.8.88[.]64/27 子网的IP地址上。该活动起源于日本，大多数目标都是教育机构的一部分。

该活动通过电子邮件和网站链接发送垃圾邮件和钓鱼内容，内容涵盖以下主题：

• 算命服务
• 虚假的包裹配送更新
• 兼职工作机会
• 终身免费物品

图5展示了这些电子邮件的一个示例。该活动的目的是诱使受害者点击链接，这些链接的子域名中隐藏着威胁攻击者的载荷。

受害者将被重定向到包含欺诈信息的网站，如图6所示的算命服务。

表2列出了该活动中所使用的六个域名，以及FQDN（完全限定域名）的示例、名称服务器、名称服务器IP地址和注册时间。

四.扫描DNS隧道

网络扫描（Network scanning）旨在寻找网络基础设施中的漏洞，通常是网络攻击的第一阶段。然而，DNS隧道技术在网络扫描中的应用尚未得到充分研究。因此，揭示隧道活动在网络扫描中的应用可以帮助我们在早期阶段预防网络攻击，减轻潜在损害。

1.SecShow DNS隧道攻击活动

我们发现了一个新的攻击活动，其中威胁攻击者利用隧道技术定期扫描受害者的网络基础设施，并执行反射攻击。他们的恶意行为包括：

• 搜索开放解析器
• 测试解析器延迟
• 利用解析器漏洞
• 获取生存时间（TTL）信息

此次攻击活动主要针对开放解析器。因此，我们发现受害者主要来自教育、高科技和政府领域，这些领域常见开放解析器。此次攻击活动包含三个域名，利用不同的子域名来实现不同的网络扫描。

我们在表3中列出了这三个域名，以及FQDN（完全限定域名）的示例、名称服务器、名称服务器IP地址和注册时间。这些域名共享名称服务器IP地址 202.112.47[.]45。由于攻击者使用的域名特性，我们将此次攻击活动命名为“SecShow”。

2.SecShow隧道使用

SecShow针对不同的扫描目的使用不同的子域名值。在此，我们介绍四个用例以展示攻击者如何扫描网络。

（1）案例1：bc2874fb-1.c.secshow[.]net 在此FQDN（完全限定域名）中，bc2874fb是IP地址 188.40.116[.]251 的十六进制编码，-1是一个计数器，用于使FQDN唯一，而名称服务器域为 c.secshow[.]net。

攻击者首先伪造一个随机源IP地址（如188.40.116[.]251），并对编码后的FQDN（bc2874fb-1.c.secshow[.]net）的候选IP地址进行DNS查询。一旦攻击者的权威名称服务器（c.secshow[.]net）接收到DNS查询，他们就可以获取传入的解析器IP地址和用于此查询的编码源IP地址。

攻击者使用不同的伪造IP地址重复此过程，并发现网络中的开放解析器以及这些开放解析器服务的IP地址。这可能是DNS欺骗、DNS缓存投毒或DNS洪水攻击的第一步。

• DNS spoofing
• DNS cache poisoning
• DNS amplification attacks

（2）案例2：20240212190003.bailiwick.secshow[.]net 这种FQDN类型仅在每周一UTC时间19:00:03出现，有效载荷指示一个时间戳（如2024年2月12日UTC时间19:00:03），这是此FQDN的生成时间。

攻击者伪造一个源IP地址，并从解析器IP地址查询此FQDN。攻击者可以执行以下活动：

• 测试此解析器的查询延迟
• 检查其域名是否被阻止，并将查询转发到陷阱
• 利用此解析器的漏洞

攻击者通过分析其权威名称服务器的日志来实现前两个目标。要利用解析器的漏洞，此查询的响应包含另一个域名的A记录：

20240212190003.bailiwick.secshow[.]net. 3600 IN A 202.112.47[.]45

afusdnfysbsf[.]com. 3600 IN A 202.112.47[.]45

在上述代码中，afusdnfysbsf[.]com 是一个已被撤销的恶意域名。然而，其记录仍然可能被解析器缓存。因此，攻击者可能会利用较旧软件版本中某些解析器的缓存漏洞（例如CVE-2012-1033）来阻止域名撤销。

（3）案例3：1-103-170-192-121-103-170-192-9.h.secshow[.]net 有效载荷以一个计数器填充1开始，随后是两个IP地址 103.170.192[.]121 和 103.170.192[.]9，分别代表伪造的源IP地址和解析器的目标IP地址。

这种FQDN类型与案例1类似。然而，此FQDN的A记录是一个随机IP地址，随着查询尝试而变化，并具有长达86400秒的TTL。这一特性可能被利用来执行以下活动：

• DNS放大分布式拒绝服务（DDoS）攻击
• DNS缓存投毒攻击
• 资源耗尽攻击

（4）案例4：0-53ea2a3a-202401201-ans-dnssec.l-test.secdns[.]site 有效载荷包含一个前置填充0，后跟一个十六进制编码的IP地址（53ea2a3a）、一个日期（20240120）和后置填充（1）。我们观察到，攻击者使用这种类型的FQDN来获取以下信息：

• 最大/最小TTL
• 超时
• 查询速度信息

这些信息对于某些DNS威胁（如Phoenix Domain [PDF] 和Ghost Domain Names）是有用的。

3.防御措施

在这些攻击活动中使用的DNS隧道域名可以通过Palo Alto Networks防火墙产品进行检测。然而，我们还建议采取以下措施以减少DNS解析器的攻击面。

• 限制解析器的服务范围，仅接受必要的查询
• 及时更新解析器软件版本，以防止N-day漏洞的利用

五.总结

攻击者可以利用DNS隧道技术执行与DNS隧道不相关的各种操作。尽管传统上认为隧道技术主要用于C2（命令与控制）和V*N（虚拟私人网络），但我们也发现攻击者可以将DNS隧道技术作为跟踪受害者活动和进行网络扫描的工具。

Palo Alto Networks下一代防火墙客户通过高级URL过滤和我们的DNS安全订阅服务，获得针对本文中提及的恶意指标（域名、IP地址）的防护。

• Palo Alto Networks Cortex XDR分析客户通过DNS隧道分析检测器获得针对本文中提及的DNS隧道技术的防护。
• 根据本研究中共享的IoCs，已经对Advanced WildFire机器学习模型和分析技术进行了审查和更新。
• Prisma Cloud能够在云环境中检测、分析和发出关于恶意DNS流量的警报。

攻击指标

DNS隧道使用的Domains

85hsyad6i2ngzp[.]com
8egub9e7s6cz7n[.]com
8jtuazcr548ajj[.]com
anrad9i7fb2twm[.]com
aucxjd8rrzh7xf[.]com
b5ba24k6xhxn7b[.]com
cgb488dixfxjw7[.]com
d6zeh4und3yjt9[.]com
epyujbhfhbs35j[.]com
hhmk9ixaw9p3ec[.]com
hjmpfsamfkj5m5[.]com
iszedim8xredu2[.]com
npknraafbisrs7[.]com
patycyfswg33nh[.]com
rhctiz9xijd4yc[.]com
sn9jxsrp23x63a[.]com
swh9cpz2xntuge[.]com
tp7djzjtcs6gm6[.]com
uxjxfg2ui8k5zk[.]com
wzbhk2ccghtshr[.]com
y43dkbzwar7cdt[.]com
ydxpwzhidexgny[.]com
z54zspih9h5588[.]com
3yfr6hh9dd3[.]com
4bs6hkaysxa[.]com
66tye9kcnxi[.]com
8kk68biiitj[.]com
93dhmp7ipsp[.]com
api536yepwj[.]com
bb62sbtk3yi[.]com
cytceitft8g[.]com
dipgprjp8uu[.]com
ege6wf76eyp[.]com
f6kf5inmfmj[.]com
f6ywh2ud89u[.]com
h82c3stb3k5[.]com
hwa85y4icf5[.]com
ifjh5asi25f[.]com
m9y6dte7b9i[.]com
n98erejcf9t[.]com
rz53par3ux2[.]com
szd4hw4xdaj[.]com
wj9ii6rx7yd[.]com
wk7ckgiuc6i[.]com
secshow[.]net
secshow[.]online
secdns[.]site

IP地址

35.75.233[.]210
202.112.47[.]45

(By:Eastmount 2024-05-31 夜于贵阳)

相关文献：

• DNS Tunneling Archives – Unit 42, Palo Alto Networks
• Understanding DNS Tunneling Traffic in the Wild – Unit 42, Palo Alto Networks
• DNS Tunneling: how DNS can be (ab)used by malicious actors – Unit 42, Palo Alto Networks
• SolarStorm Timeline: Details of the Software Supply-Chain Attack – Unit 42, Palo Alto Networks
• DarkHydrus delivers new Trojan that can use Google Drive for C2 communications – Unit 42, Palo Alto Networks
• DNS Tunneling in the Wild: Overview of OilRig’s DNS Tunneling – Unit 42, Palo Alto Networks
• OilRig Targets Middle Eastern Telecommunications Organization and Adds Novel C2 Channel with Steganography to Its Inventory – Unit 42, Palo Alto Networks
• xHunt Campaign: Newly Discovered Backdoors Using Deleted Email Drafts and DNS Tunneling for Command and Control – Unit 42, Palo Alto Networks
• xHunt Campaign: New PowerShell Backdoor Blocked Through DNS Tunnel Detection – Unit 42, Palo Alto Networks
• Dog Hunt: Finding Decoy Dog Toolkit via Anomalous DNS Traffic – Infoblox
• CVE-2012-1033: Ghost Domain Names: Revoked Yet Still Resolvable – Internet Systems Consortium (ISC)
• Ghost Domain Reloaded: Vulnerable Links in Domain Name Delegation and Revocation [PDF] – NDSS Symposium