Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : le DNS de plus en plus détourné par les malwares ?

mars 2012 par CERT-XMCO

- Date : 28 Mars 2012

- Criticité : Moyenne

- Description :
De nombreuses entreprises ne surveillent pas leur trafic DNS, laissant alors une porte ouverte aux malwares pour profiter de ce protocole. Ainsi, depuis plusieurs années, les chercheurs ont étudié les différents moyens de détourner ce protocole de sa fonctionnalité première.

Aujourd’hui, certains chercheurs tirent la sonnette d’alarme sur le détournement du DNS qui pourrait de plus en plus être utilisé par les pirates afin de communiquer avec des systèmes compromis. D’après Ed Skoudis, consultant senior chez InGuardians, de plus en plus de malwares vont cacher leurs communications (commandes, données exfiltrées, etc.) au sein de paquets DNS. En effet, l’avantage de ce système est que même si une machine compromise ne peut pas accéder directement à l’extérieur, elle peut faire des requêtes au serveur DNS interne, qui lui va se charger de transmettre la requête sur Internet. Dans ce genre de scénario, le serveur DNS interne à l’entreprise servirait alors de proxy pour le malware.

Jusqu’à présent, cette utilisation du DNS par les malwares a été relativement rare. Seule une douzaine de malwares exploiterait le DNS afin d’envoyer leurs commandes et leurs mises à jour. Au total, d’après les chercheurs d’Internet Identity, environ 5% des attaques contient de la signalisation par DNS.

D’après Gunter Ollmann, vice-président de la recherche chez Damballa, le détournement du DNS pour les communications tombe dans deux catégories :
 le tunneling DNS qui utilise le port 53 pour contourner les pare-feu dont le port DNS est souvent ouvert afin de ne pas interférer avec les recherches de noms de domaine ;
 la dissimulation de données au sein même de paquets DNS, afin de transporter l’information à la destination choisie par l’attaquant.
C’est cette dernière technique qui devrait être de plus en plus utilisée. Aujourd’hui, la plupart du trafic des malwares utilise le protocole HTTP, protocole qui devient de plus en plus surveillé, les attaquants doivent ainsi explorer d’autres possibilités.

Néanmoins, détecter ce genre de trafic devrait être assez facile du fait que les communications par DNS génèrent un important volume d’informations. Ironiquement, DNSSEC, sensé apporter plus de sécurité, pourrait faciliter la dissimulation de données au sein des requêtes DNS. En effet, la charge utile d’un paquet DNS "classique" est limitée à 512 octets, alors que les paquets DNSSEC ne sont pas limités en taille facilitant ainsi l’extraction de données.

Cependant, d’autres chercheurs pensent que la difficulté de cacher des données dans les paquets DNS empêchera l’utilisation massive de ce protocole par les pirates.

- Référence :
http://www.darkreading.com/advanced-threats/167901091/security/vulnerabilities/232700369/malware-to-increasingly-abuse-dns.html

- Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0497


Voir les articles précédents

    

Voir les articles suivants