DNS war lange ein beliebtes bzw. gefürchtetes Mittel, um Daten aus sicheren Unternehmensnetzen hinauszuexfiltrieren. Man hat dies heute halbwegs unter Kontrolle, indem Techniken wie Sinkholing und Filterung eingesetzt werden – theoretisch, denn in der Praxis hinken viele Unternehmen hier noch hinterher. Doch die Behebung eines anderen Problems von DNS – fehlende Verschlüsselung – bringt nun die alten Gespenster wieder zurück. Zwar kann durch Techniken wie DNS-over-HTTPS (DoH) die Namensauflösung gesichert bei einem der großen Anbieter geschehen – doch wenn diese dann wieder per DNS bei einem vom Angreifer kontrollierten DNS-Server anfragen, hat der Angreifer nicht nur den Exfiltrationskanal wieder geöffnet, sondern er hat auch noch die perfekte Tarnung dafür. Denn welche Firewall oder welche DLP-Lösung würde schon Böses hinter DNS-Verbindungen zu Google oder Cloudflare vermuten?
https://sensepost.com/blog/2018/waiting-for-godoh/
Stille Post von hinten durch die Brust: Daten-Extraktion via DNS-over-HTTPS
