Le DNS comme "Backdoor" - Ne sous-estimez pas les risques!
Le vol de données est l’un des risques majeurs pour toute entreprise. Le DNS est fréquemment utilisé comme véhicule pour exfiltrer des données, car il n’est pas inspecté par les contrôles de sécurité traditionnels.
Selon Dan Kaminsky, le célèbre chercheur en sécurité informatique, le DNS peut être considéré comme un réseau de routage et de mise en cache déployé mondialement qui connecte à la fois l’Internet public et privé. Cette vision du DNS soulève la question de la sécurité: le DNS est-il suffisamment sécurisé? Du fait de sa capacité à être exploité de manière non conventionnelle, le DNS devient la «porte dérobée», ou «Backdoor» en anglais, idéale pour les pirates informatiques cherchant à voler des données sensibles.
Malgré les différents mécanismes de défenses utilisés par les entreprises, tels que des Firewall de nouvelle génération, des systèmes de détection d’intrusions (IDS), et des systèmes de prévention d’intrusions (IPS), les cybercriminels parviennent à se servir du DNS pour s’introduire dans les réseaux, injecter un code malveillant, détourner le trafic ou pour exfiltrer des données sensibles.
Il est très difficile pour un équipement passif (FW, IDS, IDP) de détecter ces attaques DNS. Heureusement, des spécialistes et des solutions spécifiques pour renforcer la sécurité des serveurs et des services DNS existent. La plupart des fabricants de serveur de DNS intègrent des fonctions sophistiquées permettant de prévenir le Tunneling et les exfiltrations de données, mais également de protéger le service DNS lui-même contre des attaques de déni de service (DDoS) ou d’empêcher les malwares d’utiliser le DNS.
---------------------------
Les 3 principales astuces utilisant le DNS des cybercriminels
1. L’exfiltration des données
Dans le cas d’une tentative d’exfiltration de données, l’augmentation drastique des requêtes qui sortent du réseau devrait rendre facile la détection du transport malintentionné des données. Or ce n’est pas toujours le cas car, pour éviter d’être détectés, les cybercriminels regorgent d’astuces, telles que le «Slow Drip», où l’envoi des requêtes au DNS est ralenti afin de rester discret et de ne pas déclencher une alerte; ou encore l’usurpation d’adresses IP, où la source IP est réécrite dans les requêtes, donnant l’impression que celles-ci proviennent de clients différents. Une sécurité de réseau qui fonctionne devrait pouvoir empêcher cela au niveau des ports du switch, mais ce n’est souvent pas le cas.
2. L’intrusion dans les réseaux
Les pirates peuvent également utiliser le DNS pour placer du code malveillant sur le réseau. Un pirate peut manipuler un code binaire de telle manière à ce qu’il puisse être utilisé pour transporter des données (par exemple en tant que HEX) et insérer ce code dans des entrées TXT sur son serveur DNS non autorisé.
3. Le DNS Tunneling
Le tunneling est la méthode qui encode les données d’un autre programme ou protocole dans les requêtes ou les réponses du DNS. Le tunneling inclut souvent du code malveillant qui peut être utilisé pour attaquer le serveur DNS et pour contrôler à distance les serveurs et les applications. Le DNS Tunneling utilise généralement le trafic du protocole IP via le port DNS 53 pour exploiter les données. Le port 53 n’est généralement pas vérifié par les Firewall, c’est aussi souvent le cas pour les Firewall de nouvelle génération. De plus, différents outils disponibles sur Internet (Iodine, SplitBrain, etc.) permettent d’utiliser le tunneling de manière malicieuse sans nécessiter de connaissances pointues dans le domaine.
