DNS Exfiltration là gì? Cơ chế hoạt động và cách phòng tránh hiệu quả

NHỮNG ĐIỂM CHÍNH

 

Hiểu rõ DNS Exfiltration là gì và vì sao nguy hiểm


Nắm cơ chế hoạt động theo từng bước cụ thể

 

Biết cách nhận diện lưu lượng DNS bất thường


Áp dụng các biện pháp phòng thủ hiệu quả

 

DNS EXFILTRATION LÀ GÌ

 

DNS Exfiltration là kỹ thuật tấn công trong đó kẻ xấu sử dụng giao thức DNS để đánh cắp dữ liệu từ hệ thống nội bộ ra bên ngoài. Thay vì gửi dữ liệu trực tiếp qua HTTP hoặc FTP (dễ bị phát hiện), dữ liệu sẽ được “ngụy trang” trong các truy vấn DNS.

 

Điểm nguy hiểm nằm ở chỗ DNS thường được coi là lưu lượng hợp lệ, nên firewall và các hệ thống giám sát truyền thống ít khi chặn hoặc kiểm tra sâu.

 

DNS, DNS Exfiltration, DNS Exfiltration là gì

 

CƠ CHẾ HOẠT ĐỘNG CỦA DNS EXFILTRATION

 

Quá trình này thường diễn ra theo 3 bước chính:

 

BƯỚC 1: MÃ HÓA DỮ LIỆU VÀO HOSTNAME

 

Sau khi xâm nhập được vào máy, malware sẽ thu thập dữ liệu nhạy cảm như mật khẩu, token hoặc file nội bộ. Thay vì gửi trực tiếp, dữ liệu sẽ được mã hóa (thường là Base64) và chèn vào subdomain.

 

Ví dụ:


Secret123 → mã hóa → gắn vào dạng


secret123.attacker-domain.com

 

BƯỚC 2: GỬI TRUY VẤN DNS RA NGOÀI

 

Máy bị nhiễm sẽ gửi request DNS để “phân giải” domain này. Do đây là hành vi bình thường, hệ thống mạng nội bộ vẫn cho phép đi qua firewall và proxy.

 

Các truy vấn này sẽ đi qua nhiều DNS server trung gian trước khi đến máy chủ đích.

 

BƯỚC 3: THU THẬP DỮ LIỆU TẠI MÁY CHỦ TẤN CÔNG

 

Khi truy vấn đến authoritative DNS server do attacker kiểm soát, hệ thống này sẽ ghi log toàn bộ request. Phần subdomain chính là dữ liệu đã bị đánh cắp.

 

Attacker chỉ cần đọc log là có thể thu thập thông tin.

 

DNS, DNS Exfiltration, DNS Exfiltration là gì

 

CÁCH NHÚNG DỮ LIỆU VÀ NHẬN BIẾT DNS EXFILTRATION

 

Kẻ tấn công thường sử dụng nhiều kỹ thuật để giấu dữ liệu:

 

Mã hóa và nhúng vào subdomain


Chia nhỏ dữ liệu thành nhiều truy vấn liên tiếp


Tùy chỉnh cấu trúc gói tin DNS để đánh lừa hệ thống

 

Dấu hiệu nhận biết:

 

Xuất hiện nhiều truy vấn DNS dài bất thường


Tần suất truy vấn cao đến domain lạ


Subdomain chứa chuỗi ký tự ngẫu nhiên (entropy cao)


Lưu lượng DNS tăng đột biến không rõ nguyên nhân

 

Trong thực tế, việc phát hiện thủ công gần như không khả thi. Do đó, các hệ thống sử dụng AI/Machine Learning sẽ giúp phân tích pattern và phát hiện bất thường hiệu quả hơn.

 

CÁCH NGĂN CHẶN DNS EXFILTRATION

 

Để phòng tránh hiệu quả, cần kết hợp nhiều lớp bảo mật:

 

Triển khai hệ thống giám sát DNS chuyên dụng để phân tích log và phát hiện bất thường


Giới hạn truy vấn DNS chỉ qua server nội bộ, không cho phép truy vấn trực tiếp ra ngoài


Cấu hình firewall chặn các DNS server không được ủy quyền


Sử dụng DNS filtering để block domain độc hại


Giới hạn tốc độ truy vấn DNS để phát hiện hành vi bất thường


Cập nhật và vá lỗi hệ thống DNS định kỳ


Đào tạo người dùng tránh tải file hoặc chạy phần mềm không rõ nguồn gốc

 

DNS, DNS Exfiltration, DNS Exfiltration là gì

 

DNS Exfiltration không phải là kỹ thuật mới, nhưng vẫn cực kỳ hiệu quả vì đánh vào “điểm mù” của nhiều hệ thống. Nếu không giám sát DNS đúng cách, bạn có thể bị rò rỉ dữ liệu mà không hề hay biết.

 HỖ TRỢ TRỰC TUYẾN