Tunneling DNS: Risiko dan Contoh Nyata

/ Serangan Siber / Oleh

Sistem Nama Domain (DNS) adalah teknologi penting yang digunakan dalam jaringan dan internet. Fungsi utamanya adalah untuk mengubah alamat IP menjadi nama domain atau Uniform Resource Locator (URL) yang mudah diingat sehingga orang dapat mengakses situs web dengan mudah. Teknologi ini penting karena manusia dapat dengan mudah mengingat nama domain seperti catchpoint.com dibandingkan dengan alamat IP yang panjang, terutama karena alamat IPv6 memiliki panjang 128 bit.

Tunneling DNS

DNS telah digunakan selama bertahun-tahun dan oleh karena itu, diawasi dengan ketat oleh para peretas yang selalu mencari celah untuk dieksploitasi. Terowongan DNS adalah salah satu bentuk serangan DNS yang paling berbahaya dan dapat menyebabkan kerusakan yang signifikan.

Apa yang dimaksud dengan Tunneling DNS?

DNS Tunneling adalah teknik yang digunakan oleh penjahat siber dan peretas untuk menerobos langkah-langkah keamanan jaringan dan menyusupkan data dari jaringan yang disusupi. Ini melibatkan enkapsulasi data dalam kueri dan respons DNS, yang kemudian ditransmisikan melalui Sistem Nama Domain (DNS).

DNS adalah komponen penting dari internet yang menerjemahkan nama domain yang dapat dibaca manusia (seperti http://www.google.com) menjadi alamat IP yang dapat dibaca mesin (seperti 172.217.0.46). Permintaan dan respons DNS biasanya diizinkan melalui firewall dan tindakan keamanan lainnya karena diperlukan untuk mengakses halaman web dan layanan online lainnya. Namun, DNS Tunneling mengambil keuntungan dari kepercayaan yang melekat pada DNS ini dan menggunakannya sebagai saluran rahasia untuk mentransmisikan data.

Untuk menggunakan DNS Tunneling, penjahat siber pertama-tama membuat saluran perintah dan kontrol (C2) dengan host yang disusupi di sebuah jaringan. Saluran C2 ini digunakan untuk mengirim dan menerima data melalui permintaan dan respons DNS. Data dikodekan dalam kueri dan respons DNS dengan cara yang tidak mudah dideteksi.

Ada beberapa teknik yang digunakan dalam DNS Tunneling, termasuk:

  • Subdomain DNS Tunneling: Dalam teknik ini, penjahat siber membuat subdomain yang berisi data yang disandikan. Penjahat siber mengirimkan kueri DNS ke server DNS yang disusupi untuk mengambil data yang dikodekan dalam subdomain.
  • TXT Record DNS Tunneling: Catatan TXT biasanya digunakan untuk memberikan informasi tambahan tentang domain, tetapi dapat digunakan untuk mengirimkan data dalam serangan DNS Tunneling. Penjahat siber mengkodekan data dalam catatan TXT dan mengirimkan permintaan DNS ke server DNS yang disusupi untuk mengambil data.
  • Bendera DNS Terowongan DNS (DNS Tunneling): Bendera DNS digunakan untuk menunjukkan status permintaan atau respons DNS. Dengan memanipulasi flag ini, penjahat siber dapat mengirim dan menerima data melalui permintaan dan respons DNS.

DNS Tunneling adalah teknik yang ampuh untuk menerobos kontrol keamanan jaringan karena teknik ini mengeksploitasi sifat DNS yang ada di mana-mana dan fakta bahwa permintaan dan respons DNS biasanya diizinkan melalui firewall dan langkah-langkah keamanan lainnya. Hal ini menyulitkan untuk mendeteksi dan mencegah serangan DNS Tunneling.

Risiko Tunneling DNS

Tunneling DNS menimbulkan risiko yang signifikan bagi organisasi dan individu. Berikut ini adalah beberapa risiko yang terkait dengan Tunneling DNS:

  1. Eksfiltrasi Data: DNS Tunneling adalah teknik yang ampuh untuk melakukan eksfiltrasi data dari jaringan yang disusupi. Penjahat siber dapat menggunakan DNS Tunneling untuk menyusupkan data sensitif seperti kata sandi, nomor kartu kredit, dan informasi rahasia lainnya. Karena permintaan dan respons DNS biasanya diizinkan melalui firewall dan langkah-langkah keamanan lainnya, DNS Tunneling bisa jadi sulit dideteksi dan dicegah.
  2. Perintah dan Kontrol: DNS Tunneling juga merupakan teknik yang ampuh untuk membuat saluran perintah dan kontrol dengan host yang disusupi. Penjahat siber dapat menggunakan DNS Tunneling untuk mengirim dan menerima perintah ke host yang disusupi, sehingga mereka dapat mengendalikan host yang disusupi dari jarak jauh.
  3. Distribusi Malware: DNS Tunneling juga bisa digunakan untuk mendistribusikan malware ke host yang disusupi. Penjahat siber dapat menggunakan DNS Tunneling untuk mengirimkan muatan malware ke host yang disusupi, yang kemudian dieksekusi pada host yang disusupi.
  4. Operasi Botnet: DNS Tunneling adalah teknik umum yang digunakan dalam pengoperasian botnet. Botnet adalah jaringan host yang disusupi dan dikendalikan dari jarak jauh oleh penjahat siber. DNS Tunneling digunakan untuk membuat saluran perintah dan kontrol dengan host yang disusupi dan untuk mengeksfiltrasi data dari host yang disusupi.
  5. Kerusakan Reputasi: Tunneling DNS dapat merusak reputasi organisasi jika jaringannya disusupi dan digunakan untuk tujuan jahat. Penjahat siber dapat menggunakan DNS Tunneling untuk menyusupkan data sensitif dari jaringan organisasi, yang dapat mengakibatkan kerugian finansial dan kerusakan reputasi yang signifikan.
  6. Perlambatan Jaringan: Tunneling DNS juga dapat menyebabkan pelambatan dan gangguan jaringan. Karena permintaan dan respons DNS biasanya diizinkan melalui firewall dan langkah-langkah keamanan lainnya, penjahat siber dapat menggunakan DNS Tunneling untuk menerobos langkah-langkah keamanan dan membanjiri jaringan dengan permintaan DNS. Hal ini dapat menyebabkan perlambatan dan gangguan jaringan yang signifikan, sehingga menyulitkan pengguna yang sah untuk mengakses sumber daya jaringan.
  7. Pelanggaran Kepatuhan: Tunneling DNS juga dapat mengakibatkan pelanggaran kepatuhan. Banyak industri, seperti layanan kesehatan dan keuangan, memiliki peraturan yang ketat mengenai penanganan data sensitif. Jika jaringan organisasi disusupi melalui DNS Tunneling, organisasi tersebut mungkin melanggar peraturan ini dan dapat menghadapi hukuman finansial yang signifikan.
  8. Kehilangan Data: Tunneling DNS juga dapat mengakibatkan kehilangan data. Penjahat siber dapat menggunakan DNS Tunneling untuk menyusupkan data sensitif dari jaringan organisasi, yang dapat mengakibatkan kerugian finansial dan kerusakan reputasi yang signifikan. Selain itu, jika jaringan organisasi dibanjiri permintaan DNS sebagai bagian dari serangan DNS Tunneling, lalu lintas jaringan yang sah dapat hilang atau tertunda, yang mengakibatkan hilangnya data.
  9. Kerusakan Sistem: Tunneling DNS juga dapat menyebabkan kerusakan sistem. Jika jaringan dibanjiri dengan permintaan DNS sebagai bagian dari serangan DNS Tunneling, hal ini dapat membebani jaringan dan menyebabkan sistem macet. Hal ini dapat mengakibatkan waktu henti yang signifikan dan kerugian finansial bagi organisasi.
  10. Tanggung Jawab Hukum: Terakhir, Tunneling DNS juga dapat mengakibatkan tanggung jawab hukum bagi organisasi. Jika jaringan organisasi disusupi melalui DNS Tunneling, organisasi tersebut dapat dimintai pertanggungjawaban secara hukum atas segala kerusakan yang diakibatkan oleh serangan tersebut. Hal ini dapat mencakup kerugian finansial, kerusakan reputasi, dan biaya hukum yang terkait dengan pembelaan terhadap tuntutan hukum.

Baca Lebih Lanjut 15 Jenis Serangan Siber yang Perlu Anda Ketahui

Contoh Nyata dari Tunneling DNS

FIN7

Pada tahun 2017, kelompok penjahat siber FIN7 menggunakan kanalisasi DNS untuk menyusupkan data yang dicuri dari sistem yang disusupi. FIN7 dikenal dengan serangannya yang canggih terhadap industri perhotelan dan ritel, dan telah dikaitkan dengan pencurian jutaan catatan kartu pembayaran. Dalam serangan ini, FIN7 menggunakan alat yang disebut “DNSMessenger” untuk berkomunikasi dengan server perintah dan kontrolnya melalui permintaan dan respons DNS. Dengan menggunakan kanalisasi DNS, FIN7 dapat melewati alat keamanan yang hanya memantau lalu lintas jaringan tradisional, karena lalu lintas DNS sering kali diizinkan untuk melewati firewall dan langkah-langkah keamanan lainnya. Hal ini memungkinkan FIN7 untuk mengeksfiltrasi data yang dicuri dari sistem yang disusupi tanpa terdeteksi selama berbulan-bulan.

DNSMessenger

Pada tahun 2016, para peneliti menemukan sebuah malware baru bernama DNSMessenger yang menggunakan kanalisasi DNS untuk berkomunikasi dengan server perintah dan kontrol. Malware ini disebarkan melalui email phishing dan menargetkan terutama sektor pertahanan. Setelah terinstal pada sebuah sistem, DNSMessenger akan menggunakan kueri dan respons DNS untuk mengirim dan menerima perintah serta mengeksfiltrasi data yang dicuri. Penggunaan kanalisasi DNS memungkinkan malware untuk menerobos kontrol keamanan jaringan tradisional, karena lalu lintas DNS sering kali diizinkan untuk melewati firewall dan langkah-langkah keamanan lainnya. Malware ini dirancang untuk tersembunyi, sehingga sulit dideteksi dan diblokir.

PinkStats

Pada tahun 2017, ditemukan jenis malware baru bernama PinkStats yang menggunakan kanalisasi DNS untuk mengeksfiltrasi data dari sistem yang disusupi. PinkStats disebarkan melalui lampiran email berbahaya dan menargetkan terutama sektor keuangan. Setelah terinstal di sebuah sistem, PinkStats akan menggunakan kueri dan respons DNS untuk mengirim data yang dicuri ke server perintah dan kontrolnya. Teknik ini memungkinkan malware untuk menghindari deteksi oleh alat keamanan yang tidak memantau lalu lintas DNS. Penggunaan kanalisasi DNS menyulitkan para defender untuk memblokir malware dan mencegah eksfiltrasi data.

Operasi Potao Express

Pada tahun 2014, para peneliti menemukan kampanye spionase dunia maya yang disebut Operation Potao Express, yang menggunakan tunneling DNS untuk menyusupkan data dari organisasi yang ditargetkan. Para penyerang menggunakan malware yang dibuat khusus untuk menginfeksi sistem dan kemudian menggunakan kueri dan respons DNS untuk berkomunikasi dengan server perintah dan kontrol mereka.

Penggunaan kanalisasi DNS memungkinkan para penyerang untuk mem-bypass kontrol keamanan jaringan tradisional dan menghindari deteksi. Para penyerang mampu menyusupkan data sensitif dari organisasi yang ditargetkan, termasuk lembaga pemerintah dan organisasi militer, selama beberapa tahun sebelum ditemukan.

DNSpionase

Pada tahun 2019, sebuah grup aktor ancaman baru bernama DNSpionage ditemukan menggunakan kanalisasi DNS untuk menyusupkan data dari organisasi yang menjadi target. Kelompok ini terutama menargetkan organisasi-organisasi di Timur Tengah, terutama yang bergerak di sektor pemerintahan dan energi. Kelompok ini menggunakan email spear-phishing untuk mengirimkan malware ke sistem yang ditargetkan, dan kemudian menggunakan kanalisasi DNS untuk berkomunikasi dengan server komando dan kontrol mereka dan mengeksfiltrasi data.

DNSpionage menggunakan malware yang dibuat khusus yang disebut “Karkoff” untuk melakukan serangannya, yang dirancang untuk tersembunyi dan menghindari deteksi oleh langkah-langkah keamanan tradisional. Penggunaan kanalisasi DNS memungkinkan DNSpionage untuk mem-bypass kontrol keamanan jaringan dan menghindari deteksi, menjadikannya teknik yang sangat efektif bagi kelompok ini.

Kesimpulan

Tunneling DNS menimbulkan bahaya yang signifikan terhadap keamanan dan privasi jaringan. Sebagai teknik yang dapat digunakan untuk menerobos pembatasan jaringan, mengeksfiltrasi data, dan membuat saluran perintah dan kontrol dengan host yang disusupi, serangan DNS Tunneling bisa jadi sulit dideteksi dan dicegah. Selain itu, penyerang dapat menggunakan DNS Tunneling untuk mencuri informasi sensitif dan membahayakan integritas lalu lintas jaringan, yang berpotensi menyebabkan konsekuensi yang menghancurkan bagi organisasi dan individu. Untuk mengurangi risiko yang terkait dengan DNS Tunneling, organisasi harus mengambil tindakan proaktif untuk melindungi jaringan mereka.

Hubungi Paireds

Human Security and Compliance Platform

Tertarik dengan otomatisasi compliance dan human focus cyber security? Hubungi kami untuk membahas kebutuhan cyber security dan compliance Anda. Kita akan bekerja sama untuk mencari tahu apa yang Anda butuhkan dan bagaimana memulainya.

Let’s talk

%d blogger menyukai ini: