DNS Stegano — Exfiltration via DNS

Réseau Exfiltration

Principe

Le DNS tunneling/stegano encode des données dans les requêtes DNS (sous-domaines) et les réponses (TXT, NULL), exploitant le fait que le DNS sortant est presque toujours autorisé. Vecteur classique d'exfiltration et de C2.

Mécanisme & outils

# Données encodées dans les labels de sous-domaine
<base32_data>.exfil.attacker.com
# Réponses dans des enregistrements TXT

# Outils
iodine, dnscat2, dns2tcp (tunnels)

# Analyse forensic (pcap)
tshark -r cap.pcap -Y 'dns' -T fields -e dns.qry.name \
  | grep -i exfil   # sous-domaines longs/encodés

Détection

Requêtes vers des sous-domaines anormalement longs/aléatoires, volume DNS élevé vers un même domaine, forte proportion de TXT/NULL, et entropie élevée des labels. Les solutions de sécurité DNS (DNS firewall) ciblent ces motifs.