Пока ИИ и машинное обучение не достигли своего пика, старые методы всё ещё в игре.
Согласно недавнему отчёту компании Check Point, киберпреступники по-прежнему довольно часто используют в своих атаках DNS-туннелирование — устаревший метод, который считается пережитком ранних дней интернета.
DNS-туннелирование — это способ использования системы DNS (Domain Name System) для передачи данных между компьютерами. Обычно DNS используется для преобразования доменных имён (например, example.com) в IP-адреса, чтобы установить соединение в сети. Однако хакеры могут использовать его для скрытой передачи данных, обходя классические методы обнаружения.
И хотя многие злоумышленники давно перешли на более сложные методы, такие как стеганография и шифрование трафика по HTTP, DNS-туннелирование до сих пор не кануло в Лету.
По данным Check Point Research, этот метод по-прежнему активно применяется, например, в атаках с использованием вредоносного загрузчика CoinLoader, впервые обнаруженного компанией Avira в далёком 2019 году.
Как отмечают эксперты Check Point Research, несмотря на кажущуюся архаичность, DNS-туннелирование по-прежнему остаётся в арсенале киберпреступников благодаря ряду преимуществ:
Таким образом, несмотря на появление более совершенных техник, DNS-туннелирование сохраняет привлекательность для злоумышленников благодаря простоте реализации и возможности обхода защиты.
Исследователи Check Point предлагают бороться со злоупотреблением DNS при помощи машинного обучения и искусственного интеллекта. В основе новой технологии DeepDNS лежит использование возможностей вышеописанных инструментов для анализа огромных массивов DNS-трафика и поиска аномалий.
В отличие от традиционных методов, основанных на сравнении с базами репутации доменов, DeepDNS способен распознавать сложные паттерны, указывающие на попытки туннелирования и другие виды злоупотребления протоколом DNS. Благодаря обучению на реальных данных система может выявлять новые, неизвестные ранее схемы атак.
По заявлению разработчиков, в тестах новый инструмент компании показал высокую эффективность обнаружения и блокировки атак с использованием DNS-туннелирования. Однако независимых исследований пока недостаточно, чтобы объективно оценить возможности этой технологии.
Как бы то ни было, технологии ИИ действительно очень перспективно показывают себя в решении задач по кибербезопасности в целом и могут быть эффективно применены против DNS-туннелирования в частности.
Подводя некий итог, стоит сказать, что DNS-туннелирование нельзя упускать из виду в силу нескольких вышеозвученных причин, делающих данную технику привлекательной для злоумышленников, несмотря на её возраст. Поэтому производители решений по кибербезопасности должны уделять внимание защите от этой угрозы наравне с другими методами атак.
В свою очередь, применение передовых технологий, таких как ИИ и машинное обучение, должно помочь куда эффективнее противостоять этой и другим схожим угрозам.
Сбалансированная диета для серого вещества