DNS Tunneling là gì? Cách phát hiện và phòng chống hiệu quả

DNS Tunneling là một kỹ thuật lợi dụng hệ thống phân giải tên miền (DNS) để truyền tải dữ liệu ẩn, thường bị kẻ tấn công khai thác cho mục đích đánh cắp thông tin hoặc điều khiển máy chủ từ xa. Việc hiểu và phát hiện DNS Tunneling kịp thời giúp doanh nghiệp bảo vệ hạ tầng mạng, ngăn chặn rủi ro rò rỉ dữ liệu và duy trì tính an toàn cho hệ thống. Trong bài viết này, mình sẽ cùng bạn tìm hiểu chi tiết về DNS Tunneling, các dấu hiệu nhận biết cũng như giải pháp phòng chống hiệu quả.

Những điểm chính

1. Khái niệm DNS Tunneling: Hiểu được DNS Tunneling là gì, các đặc điểm nổi bật của hình thức tấn công này.
2. Lịch sử phát triển: Biết được quá trình hình thành và phát triển của DNS Tunneling qua các năm.
3. Lý do kẻ tấn công lại sử dụng DNS Tunneling: Cung cấp các lý do giải thích tại sao hacker thường dùng phương thức này như về tính khó phát hiện, có thể vượt tường lửa,…
4. Cơ chế hoạt động: Hiểu được chi tiết cơ chế hoạt động của DNS Tunneling.
5. Các loại hình tấn công: Cho biết các loại hình tấn công của DNS Tunneling bao gồm kênh C2, trích xuất dữ liệu, vượt tường lửa sử dụng các công cụ,…
6. Hậu quả và rủi ro: Biết được các hậu quả mà DNS Tunneling mang lại như rò rỉ thông tin, mất quyền kiểm soát hệ thống,…
7. Cách phát hiện DNS Tunneling: Chỉ ra các cách phát hiện DNS Tunneling như giám sát lưu lượng DNS bất thường, phân tích bản ghi không điển hình,…
8. Phòng chống DNS Tunneling: Nêu ra các cách phòng chống DNS Tunneling như về tường lửa nghiêm ngặt, triển khai IDS/IPS,…
9. Biết thêm Vietnix là nơi cung cấp các giải pháp khắc phục DNS Tunneling hiệu quả để có một nền tảng vững chắc.
10. Câu hỏi thường gặp: Giải đáp các thắc mắc xoay quanh DNS Tunneling

DNS Tunneling là gì?

DNS Tunneling (Đường hầm DNS) là một kỹ thuật tấn công mạng (cyber-attack technique) lợi dụng giao thức DNS để tạo ra một kênh giao tiếp ẩn (covert channel). Kẻ tấn công lạm dụng các truy vấn và phản hồi DNS để vận chuyển dữ liệu bổ sung, không liên quan đến DNS.

Lịch sử phát triển của DNS Tunneling

Kỹ thuật DNS Tunneling xuất hiện lần đầu trong các tài liệu nghiên cứu học thuật về các kênh truyền thông ẩn vào cuối những năm 1990. Đến năm 2004, kỹ thuật này đã phổ biến rộng rãi và được Dan Kaminsky đề cập tại Black Hat. Từ đó, DNS Tunneling đã phát triển từ một khái niệm lý thuyết thành một công cụ thực tế được cả chuyên gia kiểm thử xâm nhập và tội phạm mạng sử dụng.

Tại sao kẻ tấn công lại sử dụng DNS Tunneling?

Kẻ tấn công ưa chuộng DNS Tunneling vì nhiều lý do như sau:

• Khó bị phát hiện: Giao thức DNS gần như luôn được mở trên tường lửa để đảm bảo kết nối Internet hoạt động. Các hệ thống bảo mật truyền thống thường tin tưởng và ít khi kiểm tra sâu vào nội dung của lưu lượng DNS.
• Vượt tường lửa hiệu quả (Firewall bypass): Chính vì lưu lượng DNS được mặc định tin tưởng nên kỹ thuật này có thể dễ dàng vượt qua các chính sách bảo mật cơ bản mà không gây ra cảnh báo.
• Tạo kênh liên lạc bí mật và bền bỉ: DNS Tunneling cung cấp một kênh C2 ổn định cho malware để nhận lệnh và gửi dữ liệu về cho hacker. Kênh này hoạt động âm thầm và có thể tồn tại trong thời gian dài mà không bị phát hiện.

Cơ chế hoạt động của DNS Tunneling

DNS Tunneling hoạt động bằng cách chèn dữ liệu vào các yêu cầu DNS hợp pháp để tạo ra một kênh giao tiếp bí mật giữa nạn nhân và máy chủ điều khiển (C&C) của kẻ tấn công:

Giai đoạn 1: Thiết lập hệ thống điều khiển (C&C)

Kẻ tấn công đăng ký một tên miền và thiết lập một Máy chủ Tên miền có Thẩm quyền (Authoritative Name Server) dưới sự kiểm soát của mình. Máy chủ này đóng vai trò là máy chủ C&C.

Giai đoạn 2: Đóng gói và truyền tải dữ liệu

Phần mềm độc hại trên máy tính của nạn nhân (Client) mã hóa dữ liệu cần gửi đi (ví dụ: dữ liệu đánh cắp hoặc thông tin hệ thống) bằng Base64. Dữ liệu mã hóa này sau đó được chèn vào một tên miền phụ rất dài và được đóng gói thành một yêu cầu DNS thông thường (ví dụ: một truy vấn cho bản ghi A hoặc TXT). Yêu cầu DNS này được gửi ra ngoài, dễ dàng vượt qua tường lửa vì lưu lượng DNS thường được cho phép.

Giai đoạn 3: Trung gian qua trình phân giải DNS

Trình phân giải DNS (DNS Resolver) nội bộ hoặc công cộng (ví dụ: Google DNS) nhận yêu cầu này. Trình phân giải thực hiện quá trình phân giải đệ quy. Trong quá trình này, nó cuối cùng sẽ tìm ra Máy chủ C&C của kẻ tấn công là máy chủ có thẩm quyền (Authoritative) cho tên miền badactor.com.

Máy chủ C&C nhận được truy vấn DNS, giải mã dữ liệu từ tên miền phụ. Máy chủ C&C phản hồi bằng cách gửi lại các lệnh điều khiển hoặc dữ liệu phản hồi được mã hóa, thường được chèn vào các bản ghi DNS (như TXT, CNAME, hoặc thậm chí là A) và gửi lại cho trình phân giải. Trình phân giải chuyển phản hồi này cho máy tính nạn nhân, hoàn tất việc vận chuyển dữ liệu qua đường hầm. Kênh này cho phép kẻ tấn công và phần mềm độc hại giao tiếp liên tục, sử dụng giao thức DNS làm vỏ bọc.

Kênh điều khiển và chỉ huy (C2) qua DNS

Đây là hình thức phổ biến nhất, trong đó malware trên máy nạn nhân sử dụng đường hầm DNS để gọi về máy chủ của hacker. Mục đích là để nhận các lệnh mới như tải thêm mã độc, khởi động tấn công DDoS, hoặc tham gia vào một mạng botnet.

Trích xuất dữ liệu (Data Exfiltration) qua DNS

Đây là hành vi đánh cắp dữ liệu nhạy cảm như thông tin khách hàng, bí mật kinh doanh, hoặc thông tin đăng nhập. Dữ liệu được mã hóa và gửi từng chút một ra ngoài thông qua hàng loạt truy vấn DNS, khiến việc phát hiện trở nên rất khó khăn.

Dấu vết mạng và khám phá

Truy vấn DNS có thể được sử dụng để biết về mạng nội bộ. Lúc này, kẻ tấn công sẽ xác định hệ thống, dịch vụ và các tài sản khác của nạn nhân để chúng lập kế hoạch tấn công tiếp theo hoặc tìm ra các mục tiêu có giá trị cao.

Bỏ qua VPN để hạn chế mạng

Một số dịch vụ VPN đã tận dụng đường hầm DNS như một phương thức vượt qua các hạn chế mạng. Kỹ thuật này cho phép VPN truyền lưu lượng qua các yêu cầu DNS khi các giao thức khác bị chặn, hữu ích trong môi trường doanh nghiệp hoặc mạng lưới hạn chế truy cập.

Phân phối và dàn dựng phần mềm độc hại

Đường hầm DNS có thể được sử dụng để phân phối thêm phần mềm độc hại và các công cụ liên quan đến hệ thống đã bị nhiễm. Kẻ tấn công có thể gửi các lệnh tải xuống hoặc cập nhật thông qua luồng này, nhằm duy trì quyền kiểm soát hoặc mở rộng phạm vi truy cập.

Các công cụ DNS Tunneling thường gặp

Một số công cụ phổ biến được cả chuyên gia bảo mật và tin tặc sử dụng bao gồm:

1. Iodine

Iodine là một trong những công cụ tạo đường hầm DNS cũ nhất và được sử dụng rộng rãi nhất. Chức năng chính của nó là tạo một kênh IP qua DNS (tunneling IPv4 over DNS).

• Tính năng cốt lõi: Iodine cho phép bạn truyền tải toàn bộ lưu lượng IP thông thường (ví dụ: SSH, HTTP) thông qua các truy vấn và phản hồi DNS.
• Cơ chế: Nó đóng gói các gói dữ liệu IP vào các truy vấn DNS (thường là bản ghi TXT, NULL hoặc CNAME) để vượt qua các tường lửa chỉ cho phép lưu lượng DNS đi qua. Điều này biến nó thành một công cụ lý tưởng cho các chuyên gia bảo mật muốn chứng minh lỗ hổng trong cấu hình tường lửa.

2. DNScat2

DNScat2 là một công cụ hiện đại và tinh vi hơn, tập trung vào việc tạo một kênh C2 (Command and Control) an toàn qua DNS.

• Tính năng cốt lõi: DNScat2 thiết lập một kênh giao tiếp hai chiều (tương tự như một shell) giữa máy nạn nhân (client) và máy chủ C&C (server) của kẻ tấn công. Điểm mạnh của nó là khả năng mã hóa lưu lượng DNS giữa client và server (khác với giao thức DNS cơ bản), khiến việc phát hiện và phân tích lưu lượng trở nên khó khăn hơn đối với các công cụ giám sát mạng.
• Mục đích: Nó được tin tặc sử dụng chủ yếu để gửi lệnh điều khiển từ xa đến các máy chủ đã bị nhiễm và nhận dữ liệu phản hồi, tạo ra một kênh liên lạc bền bỉ và khó bị phát hiện.

3. OzymanDNS

OzymanDNS là một công cụ phổ biến khác, thường được nhắc đến trong bối cảnh trích xuất dữ liệu (Data Exfiltration).

• Tính năng cốt lõi: Tương tự như Iodine, OzymanDNS tạo ra một kênh giao tiếp thông qua DNS. Tuy nhiên, nó thường được tùy chỉnh để tối ưu hóa cho việc truyền tải một lượng lớn dữ liệu nhỏ giọt ra khỏi mạng bị giới hạn.
• Mục đích: Nó cho phép kẻ tấn công đóng gói dữ liệu nhạy cảm (ví dụ: mật khẩu, tài liệu) thành các tên miền phụ dài và gửi chúng đi qua mạng một cách âm thầm, phục vụ cho hành vi đánh cắp thông tin.

Hậu quả và rủi ro từ tấn công DNS Tunneling

Một cuộc tấn công DNS Tunneling thành công có thể gây ra những thiệt hại nặng nề cho doanh nghiệp:

• Rò rỉ thông tin nhạy cảm: Mất mát dữ liệu khách hàng, sở hữu trí tuệ và bí mật thương mại, dẫn đến tổn thất tài chính và pháp lý.
• Mất quyền kiểm soát hệ thống: Máy chủ và máy trạm có thể bị biến thành một phần của mạng botnet, được sử dụng để thực hiện các cuộc tấn công khác.
• Gián đoạn hoạt động: Lưu lượng DNS độc hại có thể làm quá tải hệ thống mạng, gây chậm hoặc gián đoạn các dịch vụ kinh doanh quan trọng.
• Thiệt hại tài chính và uy tín: Doanh nghiệp phải đối mặt với chi phí khắc phục sự cố, tiền phạt do vi phạm quy định bảo mật dữ liệu và quan trọng nhất là mất niềm tin từ khách hàng và đối tác.
• Khó khăn trong việc phát hiện: Lưu lượng DNS thường được xem là đáng tin cậy. Chính vì vậy, nếu tận dụng được luồng này thì khả năng các hoạt động tấn công truyền đường hầm qua DNS có thể không bị phát hiện trong một thời gian dài.
• Truy vấn DNS lập bản đồ và khám phá mạng: Việc này có thể giúp đối tượng khai thác thu thập thêm thông tin về mạng nội bộ. Họ sử dụng các dữ liệu này để xác định các mục tiêu tiềm năng có giá trị hoặc các điểm dễ bị tổn thương, hỗ trợ cho các hoạt động tấn công tiếp theo trở nên hiệu quả hơn.

Giám sát lưu lượng DNS bất thường (Traffic Analysis)

Phân tích lưu lượng DNS là phương pháp nền tảng để phát hiện các hoạt động đáng ngờ. Hãy chú ý đến các dấu hiệu sau:

• Lượng truy vấn DNS tăng đột biến: Đặc biệt là từ một máy trạm hoặc đến một tên miền lạ chưa từng thấy trước đây.
• Kích thước truy vấn/phản hồi lớn: Các gói tin DNS thông thường rất nhỏ. Các gói tin, đặc biệt là phản hồi TXT record, có kích thước lớn là một dấu hiệu đáng ngờ cao.
• Tần suất truy vấn cao và đều đặn: Malware C2 thường liên lạc với máy chủ theo một chu kỳ đều đặn (ví dụ: 5 phút một lần), tạo ra một mẫu lưu lượng có thể phát hiện được.

Phân tích các loại bản ghi DNS không điển hình

Kiểm tra nội dung (payload) của các truy vấn DNS có thể tiết lộ nhiều manh mối:

• Sử dụng quá nhiều bản ghi TXT: Trong hoạt động bình thường, bản ghi TXT hiếm khi được sử dụng với tần suất cao.
• Nội dung payload có vẻ được mã hóa: Các chuỗi ký tự ngẫu nhiên, dài, đặc biệt là các chuỗi tuân theo định dạng Base64 là dấu hiệu rõ ràng của việc truyền dữ liệu ẩn.
• Sử dụng các loại bản ghi hiếm gặp như NULL.

Kiểm tra tên miền con có độ entropy cao

Entropy cao có nghĩa là các chuỗi ký tự trong tên miền con trông rất ngẫu nhiên, vô nghĩa và không tuân theo quy tắc đặt tên thông thường. Ví dụ: a1b2c3d4e5f6.attacker-control.com thay vì blog.vietnix.vn. Đây là dấu hiệu mạnh mẽ cho thấy tên miền con được tạo tự động bởi thuật toán để truyền dữ liệu.

Sử dụng các giải pháp bảo mật DNS chuyên dụng

Các dịch vụ DNS Security chuyên dụng có khả năng phân tích và lọc lưu lượng DNS trước khi dữ liệu đến mạng của bạn. Các dịch vụ này thường có danh sách các tên miền độc hại đã biết và sử dụng học máy (machine learning) để phát hiện các tên miền đáng ngờ mới.

Phân tích hành vi người dùng và thực thể

UEBA là công nghệ tiên tiến giúp xác định các đường cơ sở (baseline) về hành vi bình thường của người dùng và thiết bị. Từ đó, hệ thống có thể phát hiện các sai lệch đáng ngờ, ví dụ như một máy chủ web đột nhiên thực hiện hàng nghìn truy vấn DNS ra ngoài.

Giám sát lưu lượng DNS theo từng tên miền

DNS tunneling thường phát sinh số lượng lớn truy vấn DNS trong quá trình hoạt động. Việc xuất hiện nhiều truy vấn đến một tên miền duy nhất, đặc biệt là khi có nhiều tên miền phụ khác nhau, có thể tạo ra cảnh báo về hành vi bất thường trong mạng.

Áp dụng chính sách tường lửa (Firewall) nghiêm ngặt

Đây là một trong những biện pháp hiệu quả nhất để ngăn chặn DNS Tunneling:

• Cấu hình tường lửa để chỉ cho phép các máy chủ DNS được chỉ định (DNS server nội bộ) được phép thực hiện truy vấn DNS ra Internet.
• Chặn tất cả các truy vấn DNS ra ngoài từ các máy trạm và máy chủ khác không có chức năng DNS. Kỹ thuật này giúp bịt kín con đường mà malware thường sử dụng.

Áp dụng nguyên tắc Zero Trust

Các biện pháp bảo mật không đặt niềm tin mặc định, như chính sách zero trust, giúp giảm đáng kể rủi ro từ DNS Tunneling nhờ coi mọi đối tượng đều có thể là mối đe dọa. Khi sử dụng trình phân giải DNS, dữ liệu có thể được lọc, còn với mô hình này, việc áp dụng danh sách kiểm soát truy cập (ACL) giúp phát hiện hành vi bất thường và dấu hiệu tấn công. Nhờ đó, các lỗ hổng zero-day và mối đe dọa nội bộ như nhân viên đánh cắp dữ liệu cũng có thể bị ngăn chặn kịp thời.

Triển khai hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS)

IDS (Intrusion Detection System – Hệ thống phát hiện xâm nhập) có thể phát hiện và cảnh báo về các mẫu truy vấn DNS đáng ngờ dựa trên các chữ ký đã biết. Trong khi đó, IPS (Intrusion Prevention System – Hệ thống ngăn chặn xâm nhập) có thể tự động chặn các truy vấn này trước khi chúng đến đích.

Sử dụng DNSSEC để xác thực truy vấn DNS

DNSSEC (DNS Security Extensions) là một công nghệ giúp đảm bảo rằng dữ liệu DNS bạn nhận được là xác thực và không bị giả mạo trên đường truyền. Tuy DNSSEC không trực tiếp ngăn chặn DNS Tunneling vì các truy vấn vẫn có thể hợp lệ về mặt kỹ thuật.

Giới hạn truy cập DNS ra bên ngoài

Bạn nên chỉ định một hoặc vài DNS resolver nội bộ là nơi duy nhất được phép truy vấn ra Internet. Tất cả các thiết bị khác phải gửi yêu cầu DNS thông qua các resolver này và giúp tập trung điểm giám sát và kiểm soát, dễ dàng phát hiện bất thường hơn.

Sử dụng trí tuệ nhân tạo và học máy

Các chuyên gia dự báo đến năm 2035, 90% hoạt động phát hiện và 60% phản hồi các cuộc tấn công mạng sẽ do trí tuệ nhân tạo (AI) đảm nhiệm. Lúc đó, AI và học máy (ML) sẽ nhận diện các dấu hiệu tấn công DNS Tunneling, cảnh báo sớm để tổ chức phòng vệ hiệu quả trước các mối nguy mạng trong tương lai.

Cập nhật phần mềm và vá lỗi định kỳ

DNS Tunneling thường là bước thứ hai sau khi malware đã xâm nhập hệ thống. Việc cập nhật hệ điều hành, phần mềm và các bản vá bảo mật thường xuyên sẽ giúp ngăn chặn malware ngay từ đầu, không cho chúng có cơ hội tạo ra đường hầm.

Triển khai chương trình thông tin về mối đe dọa

Cơ quan, tổ chức nên thiết lập chương trình thu thập thông tin về mối đe dọa riêng hoặc đăng ký dịch vụ tương ứng để nhận các báo cáo phù hợp. Việc cập nhật về các nhóm tấn công, mối đe dọa phổ biến và các chiến thuật, kỹ thuật mới trong hệ thống SOC sẽ giúp tổ chức nâng cao khả năng phòng chống các cuộc tấn công DNS Tunneling.

Đào tạo nhận thức về an ninh mạng (Cybersecurity) cho nhân viên

Yếu tố con người luôn là tuyến phòng thủ đầu tiên. Đào tạo nhân viên nhận biết các email lừa đảo, các trang web độc hại và không cài đặt phần mềm không rõ nguồn gốc sẽ giúp giảm đáng kể nguy cơ bị nhiễm malware.

Vietnix – Nhà cung cấp dịch vụ Firewall Anti DDoS và hạ tầng lưu trữ uy tín, chất lượng

Vietnix là nhà cung cấp dịch vụ Firewall Anti DDoS và hạ tầng lưu trữ uy tín, chất lượng tại Việt Nam. Với hệ thống bảo mật tiên tiến, Vietnix mang đến giải pháp phòng thủ toàn diện giúp bảo vệ website và máy chủ trước mọi hình thức tấn công mạng. Bên cạnh đó, hạ tầng lưu trữ hosting và VPS được đầu tư mạnh mẽ, đảm bảo tốc độ truy cập nhanh, ổn định và khả năng mở rộng linh hoạt, đáp ứng tối đa nhu cầu vận hành của doanh nghiệp trong kỷ nguyên số. Liên hệ ngay!

Thông tin liên hệ:

• Website: https://vietnix.vn/
• Hotline: 1800 1093
• Email: sales@vietnix.com.vn
• Địa chỉ: 265 Hồng Lạc, Phường Bảy Hiền, Thành Phố Hồ Chí Minh

DNS Tunneling là một mối đe dọa thực tế và tinh vi, có khả năng vượt qua các biện pháp bảo mật truyền thống và gây ra thiệt hại nghiêm trọng. Để bảo vệ tài sản số của bạn trước DNS Tunneling và các cuộc tấn công mạng phức tạp khác, việc lựa chọn một nền tảng hạ tầng vững chắc là bước đi quan trọng nhất. Để tham khảo thêm bạn có thể đọc các bài viết bên dưới.