Index

Vulnérabilité DNS : Contenu malveillant dans les enregistrements TXT

Risk: medium

Description

Le système de noms de domaine (DNS) peut être exploité par des attaquants utilisant des enregistrements TXT pour exfiltrer des données ou exécuter des commandes malveillantes. Les attaquants exploitent les enregistrements TXT pour dissimuler des charges utiles encodées ou des commandes dans des réponses DNS d'apparence légitime, permettant l'exfiltration de données, la communication de commande et contrôle (C2), voire l'exécution de logiciels malveillants.

Principaux impacts sur la sécurité :

• Exfiltration de données : Les attaquants peuvent dissimuler des données volées dans des enregistrements TXT, contournant ainsi les contrôles de sécurité traditionnels.
• Communication avec des logiciels malveillants : Les enregistrements TXT peuvent être utilisés pour relayer des commandes à des logiciels malveillants, entraînant une exécution à distance ou d'autres activités malveillantes.
• Canal C2 : Les acteurs malveillants peuvent établir des canaux de commande et de contrôle (C2) en utilisant le DNS, où la communication s'effectue de manière furtive via les enregistrements TXT.

Exemple de scénario :

Un attaquant configure un serveur DNS et enregistre un domaine. Il configure les enregistrements TXT pour inclure une charge utile encodée. Lorsque le logiciel malveillant interroge le serveur DNS, il récupère la charge utile dissimulée dans l'enregistrement TXT et l'exécute, accomplissant ainsi avec succès l'exfiltration de données ou l'exécution à distance.

Cette vulnérabilité présente un risque important pour les organisations qui ne surveillent pas ou ne restreignent pas adéquatement le trafic DNS.

Recommandation

Pour traiter les risques associés au contenu malveillant dans les enregistrements TXT DNS, envisagez de mettre en œuvre les mesures suivantes :

1. Appliquer la journalisation et la surveillance des requêtes DNS : Assurez-vous que toutes les requêtes et réponses DNS, en particulier celles impliquant des enregistrements TXT, sont journalisées. Mettez en place une surveillance continue pour détecter les anomalies, telles que des modèles de requêtes inhabituels, pouvant indiquer une activité malveillante.
2. Déployer des solutions de sécurité DNS : Utilisez des pare-feu DNS ou d'autres solutions de sécurité pour filtrer le trafic DNS malveillant. Ces outils peuvent aider à bloquer les requêtes DNS suspectes et empêcher les communications avec des domaines malveillants.
3. Restreindre le trafic DNS externe : Appliquez des politiques DNS strictes, en limitant les requêtes DNS externes aux seuls domaines nécessaires. Mettez en œuvre un filtrage DNS lorsque cela est possible.
4. Journaliser et analyser les requêtes DNS : Assurez-vous que les requêtes et réponses DNS sont journalisées pour des analyses post-mortem en cas de compromission.
5. Mettre en œuvre une limitation du taux de requêtes DNS : Appliquez une limitation de taux pour les requêtes DNS afin de réduire le risque de tunneling DNS et d'exfiltration de données. En définissant un seuil pour les requêtes DNS, vous pouvez détecter et prévenir les abus par des acteurs malveillants.

Liens

• Splunk Deep Learning Blog
• AhnLab Security Blog
• ProSec Networks

Normes

• SOC2_CONTROLS:
  • CC_6_1
  • CC_6_7
  • CC_6_8
  • CC_7_1
  • CC_7_2
  • CC_7_3
  • CC_8_1
  • CC_9_1
  • CC_9_2
• CCPA:
  • CCPA_1798_150
• GDPR:
  • ART_32
  • ART_33
  • ART_34
  • ART_35
• CWE_TOP_25:
  • CWE_20
  • CWE_287
  • CWE_918
• HIPAA_CONTROLS:
  • SECURITY212
  • SECURITY213
  • SECURITY255