Cybersécurité, pensez au DNS !

Table des matières

Au programme :

👉 L’importance du protocole DNS dans le fonctionnement d’un malware…

👉 Comment un résolveur DNS peut aider à protéger son infrastructure…

Pourquoi s’intéresser au DNS ?

Tout (ou presque) sur Internet démarre par une demande DNS.

En traçant le flux DNS il est possible d’assembler un profil détaillé d’un utilisateur et de son activité.

Prenons l’exemple d’un poste venant d’être compromis.

Le malware vient de prendre vie sur le poste de la victime…

  1. le malware contacte son centre de commande.

  2. qui lui donne ses ordres de mission :

    ✔️ miner du bitcoin

    ✔️ chiffrer le poste

    ✔️

Le poste est un zombie à la solde d’un hacker.

❗ cependant pour fonctionner, il doit connaitre l’adresse de son maitre.

Pour rester furtif le hacker veut éviter de donner des adresses fixes.

C’est là que la résolution DNS rentre en jeu.

Le malware ne connait qu’une référence vers une adresse IP, dit autrement un nom DNS.

Ce pourrait être : mymaster.10f2bc4209233ab34bda602967d0f798.net.

La correspondance avec une adresse IP sera donnée par le résolveur DNS.

  1. Demande d’une résolution sur une entrée DNS.

  2. Recherche de l’information auprès de l’autorité de la zone.

  3. Une ou plusieurs adresses IP sont fournies.

  4. Le dialogue avec le centre de commande est fonctionnel.

Un “résolveur filtrant”

Une stratégie naturelle pour se prémunir sera d’empêcher la réception d’ordre.

  1. La requête est envoyée sur un résolveur de contrôle.

  2. Vérification par rapport à une base d’adresses malveillantes ou de profils de requêtes suspect (entropie ?).

  3. Une adresse vers un trou noir est transmise.

Pour résumer, le résolveur DNS est une brique qui offre des opportunités en matière de cybersécurité :

👉 Contrôle des requêtes en prévention

👉 Journalisation des requêtes en réponse à incident

Dans une prochaine publication, je partegerai un exemple de mise en oeuvre…

Related