Botnet commando's steeds vaker via DNS

Botnetherders gebruiken steeds vaker het DNS protocol om te communiceren met ge´nfecteerde zombie-pc's, omdat dit niet of nauwelijks wordt gescand.

Om effectief een botnet te beheren moet een cybercrimineel regelmatig communiceren met de duizenden of miljoenen pc's die onder zijn controle staan. Dit verkeer gaat veelal via HTTP, TCP of IRC, maar dat steeds grondiger gecontroleerd en gescand.

DNS krijgt vrij baan
DNS is het telefoonboek van het internet, dat host names en domeinnamen koppelt aan IP-adressen. DNS-verkeer krijgt daarom op de meeste netwerken ruim baan, en wordt door de meeste firewalls genegeerd, of hooguit gefilterd met een zwarte lijst van bekende foute domeinen.

Maar rare of bizar lange DNS-queries fietsen door het netwerk heen, en daar maken botnetherders steeds vaker gebruik van. Dat vertelt Ed Skoudis, van Counter Hack Challenges en onderzoeker bij het SANS instituut op de RSA security conferentie.

Verstopt als DNS query
Ze doen dit niet door het DNS te manipuleren om het verkeer om te leiden, zoals bij DNS-changer malware of het Kaminsky-lek, maar door commando's aan de zombie pc's te verstoppen als DNS-verkeer.

Het is de vraag hoelang DNS nog 'vrije doorgang' krijgt over netwerken. Zogenaamde next generation firewalls, gebruikt op bedrijfsnetwerken, kunnen in principe elk datapakketje, inclusief DNS, controleren op inhoud of afwijkend formaat. Maar vooralsnog is het DNS protocol op de meeste netwerken een snelweg zonder drempels of flitspalen. En daar maken cybercriminelen dankbaar gebruik van.