แฮกเกอร์ใช้เทคนิค DNS tunneling สแกนเครือข่ายและติดตามเป้าหมาย

DNS tunneling เป็นเทคนิคที่แฮกเกอร์ใช้ในการสื่อสารข้อมูลผ่านช่องทาง DNS (Domain Name System) ซึ่งปกติแล้วใช้ในการแปลงชื่อโดเมนเป็นที่อยู่ IP เทคนิคนี้ช่วยให้แฮกเกอร์สามารถหลีกเลี่ยงไฟร์วอลล์และมาตรการรักษาความปลอดภัยอื่นๆ ได้ ทำให้สามารถสแกนเครือข่ายของเหยื่อเพื่อระบุช่องโหว่ และติดตามกิจกรรมของเหยื่อได้อย่างลับๆ โดยไม่เปิดเผยที่อยู่ IP ของตนเอง โดยทั่วไปแล้ว ผู้โจมตีจะเข้ารหัสข้อมูลที่ต้องการส่งในรูปแบบต่างๆ เช่น Base16, Base64 หรืออัลกอริทึมที่กำหนดเอง จากนั้นจะส่งข้อมูลนี้ไปยังเซิร์ฟเวอร์ DNS ที่ควบคุมโดยผู้โจมตีผ่านการสืบค้น DNS records ชนิดต่างๆ เช่น TXT, MX, CNAME หรือ A เซิร์ฟเวอร์ DNS จะตอบกลับด้วยข้อมูลที่ถูกเข้ารหัส ซึ่งผู้โจมตีจะสามารถถอดรหัสเพื่อดึงข้อมูลดั้งเดิมได้ ทั้งนี้ Threat Actors ต่างๆ กำลังใช้เทคนิค Domain Name System (DNS) tunneling เพื่อติดตามเมื่อเป้าหมายเปิดอีเมลฟิชชิงและคลิกลิงก์ที่เป็นอันตราย และใช้เพื่อสแกนเครือข่ายเพื่อหาช่องโหว่

วิธีการทำงาน:
การเข้ารหัสข้อมูล: แฮกเกอร์เข้ารหัสข้อมูลหรือคำสั่งที่ต้องการส่ง                                                                                            การส่งคำขอDNS: แฮกเกอร์ส่งคำขอ DNS ที่มีข้อมูลที่เข้ารหัสซ่อนอยู่ไปยังเซิร์ฟเวอร์ DNS ที่ควบคุม                                                      การดึงข้อมูล: เซิร์ฟเวอร์ DNS ของแฮกเกอร์จะส่งกลับการตอบสนอง DNS ที่มีข้อมูลที่เข้ารหัสซ่อนอยู่                                                    การถอดรหัสข้อมูล: แฮกเกอร์ถอดรหัสข้อมูลที่ได้รับจากการตอบสนอง DNS เหตุผลที่แฮกเกอร์ใช้ DNS tunneling:                                      หลีกเลี่ยงการตรวจจับ: การรับส่งข้อมูลผ่าน DNS มักจะไม่ถูกตรวจสอบอย่างเข้มงวดเท่ากับการรับส่งข้อมูลผ่านช่องทางอื่น ๆ                          หลีกเลี่ยงไฟร์วอลล์: ไฟร์วอลล์ส่วนใหญ่อนุญาตให้มีการรับส่งข้อมูลDNS ทำให้แฮกเกอร์สามารถลอบสื่อสารได้
ความยืดหยุ่น: DNS tunneling สามารถใช้ได้กับโปรโตคอลและแอปพลิเคชันต่างๆ

วิธีป้องกัน:
ตรวจสอบปริมาณการใช้งาน DNS: ตรวจหาปริมาณการใช้งาน DNS ที่ผิดปกติ ซึ่งอาจเป็นสัญญาณของการโจมตี DNS tunneling
ใช้เครื่องมือตรวจจับการบุกรุก: เครื่องมือเหล่านี้สามารถช่วยระบุรูปแบบการรับส่งข้อมูลที่ผิดปกติที่เกี่ยวข้องกับ DNS tunneling
ใช้ไฟร์วอลล์ที่สามารถบล็อกการรับส่งข้อมูล DNS ที่ไม่ได้รับอนุญาต: กำหนดค่าไฟร์วอลล์ให้บล็อกการรับส่งข้อมูล DNS ที่ไม่จำเป็นหรือไม่ได้รับอนุญาต