Cara klasik untuk mencegah sistem kritis, seperti kontrol industri, dari serangan adalah dengan membuat celah udara. Artinya memastikan mereka tidak memiliki koneksi ke internet.
Namun meskipun mereka mungkin tidak memiliki koneksi web, mereka masih sering membutuhkan layanan DNS untuk menyelesaikan catatan DNS internal perusahaan. Penelitian baru dari Pentera menunjukkan bahwa hal ini dapat memberikan titik lemah untuk dimanfaatkan oleh penyerang.
Serangan DNS, secara umum, lebih umum dari sebelumnya dengan 88 persen organisasi melaporkan beberapa jenis serangan DNS pada tahun 2022 menurut Laporan Ancaman DNS Global IDC terbaru. Lebih khusus lagi, penyerang sering menyalahgunakan DNS untuk membuat perintah dan kontrol (C2) untuk mendapatkan akses tidak sah ke jaringan. Salah satu jenis serangan ini, DNS Tunneling, menyumbang 28 persen serangan DNS pada tahun 2022, meningkat lebih dari 16 persen dari tahun ke tahun.
Peneliti Pentera telah mendemonstrasikan bagaimana penyerang dapat memanfaatkan komunikasi DNS ke jaringan celah udara.
Saat berkomunikasi melalui lalu lintas DNS biasanya dikirim melalui UDP, yang berarti tidak ada deteksi kesalahan bawaan dan tidak ada kontrol atas aliran atau urutan transmisi data. DNS juga membatasi jenis karakter yang diterimanya dan membatasi panjang karakter yang dapat dikirim. Dengan menggunakan teknik seperti kompresi dan buffering, dan dengan menghindari pembatasan DNS, penyerang dapat memastikan payload mereka lolos.
Organisasi dapat melindungi dari serangan ini dengan menggunakan server DNS offline khusus untuk jaringan celah udara dan memantau setiap upaya akses dari luar. Selain itu, mereka dapat menggunakan layanan DNS yang aman dengan analisis DNS anomali lanjutan seperti panjang permintaan dan jumlah yang diizinkan dalam jangka waktu tertentu.
Uriel Gabay, peneliti keamanan senior dan pengembang eksploit di Pentera, menjelaskan ancaman tersebut secara lebih rinci di blog Pentera.
Kredit gambar: vichie81/depositphotos.com
