In februari schreef ik al een artikel over de technologie “Dns over HTTPS” – en hoe encryptie ons ook kan schaden. Dat was februari. Nu zes maanden later verschijnt het in het nieuws : “Iraanse hacker groep heeft als eerste DNS over HTTPS misbruikt.” – tijd voor een artikel dat uitlegt wat er nu eigenlijk is misbruikt.
Doh wordt door veel mensen geprezen als extra laag van bescherming jou privacy. Toch is deze techniek ronduit gevaarlijk wanneer mensen met verkeerde bedoelingen dit gebruiken.
Antivirus en Security specialisten van Kaspersky labs zeggen dat de Oilrig (APT34) -groep DoH gebruikt om stilletjes gegevens van gehackte netwerken te exfiltreren.
De hackergroep gebruikt hiervoor de tool DNSExfiltrator. Dit is een open-sourceproject dat beschikbaar is op GitHub dat geheime communicatiekanalen creëert door gegevens te verbergen in niet-standaardprotocollen. De tool kan gegevens tussen twee punten uitwisselen met behulp van klassieke DNS-verzoeken, maar het kan ook het nieuwere DoH-protocol gebruiken.
Firewall
Maar stopt de firewall dit soort datastromen niet? – Ja en Nee. DNS verkeer is geen afwijkend protocol, en de gemiddelde firewall zal geen idee hebben dat er data naar buiten word gesluist, en kan dit dus ook niet tegenhouden.
De meer geavanceerde firewalls zijn in staat om DNS verkeer te herkennen, welke de systeembeheerder zou kunnnen limiteren. Echter, DNS over Https is geencrypteerd en gaat via port 443 en is ge-encrypteerd wat betekend dat men niet kan zien wat er verstuurd word. Fijn voor jou privacy, maar minder fijn voor de systeembeheerder die moet onderzoeken welke impact een virus of hack heeft.
De ransomware of malware die zich binnen uw netwerk bevindt, stuurt de verkregen data via diezelfde beveiligde verbindingen. En zo kunnen gencrypteerde DOH requests data van uw organisatie naar buiten transporteren.
DoH: Good or Evil
Het DoH-protocol is om twee hoofdredenen een ideaal exfiltratiekanaal. Ten eerste is het een nieuw protocol dat niet alle beveiligingsproducten kunnen monitoren. Ten tweede is het standaard geencrypteerd, terwijl DNS duidelijke tekst is.
Dns over HTTPS is op zich een neutrale technologie. Je kunt het gebruiken voor het goede, of het slechte. Twee voorbeelden:
Goed : Journalisten in China kunnen DOH gebruiken om niet door de chinese overheid bespiedt te worden, en zo beeldmateriaal van protesten naar buiten china krijgen.
Slecht: Hackers kunnen DOH gebruiken om uw gehackte data ongezien naar plekken buiten uw bedrijfsnetwerk sturen.
En zo kunnen we vaststellen dat technologie neutraal is, en het goede of kwade komt van de gebruiker van deze technologie. Met de alsmaar stijgende datalekken en hacks is mijn perceptie dat DoH in de vrije landen meer schade kunnen toebrengen, dan dat het voordelen biedt.
Mijn tip voor systeembeheerders en security specialisten : Mijd Dns over Https. Indien mogelijk – blokkeer dit soort verkeer. Informeer of uw huidige beveiliging oplossing DoH kan filteren als u niet voor onverwachte verassingen wil komen te zitten.
src: zdnet
