Sistem Nama Domain (DNS) adalah komponen fundamental dari internet yang memiliki nilai jauh lebih besar daripada sekadar “buku telepon internet,” seperti yang sering dianggap oleh banyak orang. Pelaku ancaman menyadari nilai tersebut dan memanfaatkan DNS dalam berbagai cara untuk menjalankan phishing, pencurian data, serta aktivitas berbahaya lainnya.
Domain berisiko tinggi merupakan perhatian utama dalam penyalahgunaan DNS. Domain-domain ini, yang didaftarkan oleh pelaku ancaman, menunjukkan perilaku yang mengindikasikan niat jahat, bahkan sebelum aktivitas berbahaya yang jelas dimulai. Domain-domain ini sering kali memiliki karakteristik yang mirip dengan domain berbahaya yang sudah diketahui, sehingga sulit dideteksi. Domain berisiko tinggi dapat berupa domain yang baru didaftarkan, domain tiruan (lookalike domains), atau domain yang menunjukkan pola aktivitas mencurigakan.
Komunikasi Command and Control (C2)
Pelaku ancaman juga memanfaatkan DNS untuk komunikasi C2. Dengan menggunakan DNS untuk mengirim perintah ke malware yang telah terinstal di perangkat korban, penyerang dapat mempertahankan kendali atas sistem yang telah dikompromikan dan menghindari deteksi oleh sebagian besar alat keamanan yang hanya berfokus pada HTTP(S). Metode ini sangat efektif karena lalu lintas DNS sering kali diizinkan melewati firewall dan langkah-langkah keamanan lainnya tanpa pengawasan ketat, sehingga menjadi cara yang tersembunyi untuk mengelola perangkat yang terinfeksi.
Memanfaatkan Berbagai Jenis Rekam DNS
Pelaku ancaman sering kali menggunakan berbagai jenis rekam DNS untuk menghindari deteksi oleh alat keamanan yang hanya memantau tipe rekam tertentu. Misalnya, sementara banyak alat keamanan hanya berfokus pada pemantauan rekam A (address), penyerang dapat menggunakan rekam CNAME (canonical name) atau TXT (text) untuk menjalankan aktivitas berbahaya mereka. Dengan menggunakan jenis rekam DNS yang jarang dipantau, pelaku ancaman dapat menghindari deteksi dan terus menjalankan aksinya.
DNS Tunneling
DNS tunneling adalah teknik canggih di mana penyerang menggunakan kueri dan respons DNS untuk mengekstrak data dari jaringan yang telah dikompromikan. Dengan menyandikan data dalam kueri DNS, pelaku kejahatan siber dapat melewati langkah-langkah keamanan tradisional dan berkomunikasi dengan server Command and Control (C2) mereka. Metode ini sering digunakan dalam Advanced Persistent Threats (APTs) dan bisa sulit dideteksi tanpa alat khusus.
Zero-Day DNS
Taktik lain yang digunakan oleh penjahat siber adalah pendaftaran domain zero-day. Domain-domain ini didaftarkan dan langsung digunakan untuk melancarkan serangan spear phishing serta serangan bertarget lainnya. Karena domain ini baru didaftarkan, mereka sering kali dapat melewati langkah-langkah keamanan tradisional yang bergantung pada deteksi berbasis reputasi. Hal ini memungkinkan penyerang untuk melancarkan serangan mereka dengan cepat dan efektif sebelum domain tersebut teridentifikasi sebagai berbahaya. (lihat Gambar 1).
Gambar 1: Pelaku ancaman dapat melancarkan serangan segera setelah mendaftarkan domain, memanfaatkannya sebelum sistem pertahanan diperbarui.
Domain Tiruan (Lookalike Domains)
Salah satu taktik paling umum yang digunakan oleh pelaku kejahatan siber adalah pembuatan domain tiruan. Domain ini dirancang agar sangat mirip dengan situs web resmi, sering kali dengan sedikit perbedaan ejaan atau variasi nama. Misalnya, pelaku ancaman dapat mendaftarkan “micros0ft.com” alih-alih “microsoft.com”. Domain tiruan ini kemudian digunakan dalam serangan phishing untuk menghindari sistem pertahanan dan menipu pengguna agar memberikan informasi sensitif seperti kredensial login atau detail keuangan.
Sistem Distribusi Lalu Lintas (Traffic Distribution Systems/TDS)
Pelaku ancaman telah membangun TDS berskala besar yang mengarahkan korban melalui jaringan domain yang kompleks untuk mendistribusikan konten berbahaya secara efisien dan dalam jumlah besar. Jika pertahanan hanya berfokus pada pemblokiran domain akhir yang berbahaya, pelaku ancaman akan mengganti domain dengan yang baru dan tetap menyebarkan malware menggunakan ribuan domain lainnya. Oleh karena itu, strategi pertahanan yang efektif harus menargetkan infrastruktur TDS itu sendiri, bukan hanya domain individu. (lihat Gambar 2).
Gambar 2: Pelaku ancaman memanfaatkan TDS berskala besar untuk mengatasi pertahanan penyaringan domain tradisional.
Dangling CNAMEs
Dangling CNAME adalah jenis rekam DNS yang mengarah ke domain atau sumber daya yang tidak lagi ada atau tidak lagi dikendalikan oleh pemilik aslinya. Hal ini menciptakan kerentanan yang dapat dimanfaatkan oleh pelaku ancaman untuk mengambil alih subdomain dan menggunakannya untuk tujuan berbahaya. Rekam CNAME yang menggantung dapat menyebabkan pembajakan domain (domain hijacking), di mana lalu lintas yang seharusnya menuju domain asli justru dialihkan ke situs berbahaya.
Kesimpulan
Penyalahgunaan DNS oleh pelaku ancaman dapat menjadi titik buta bagi para profesional keamanan siber. Dengan memahami berbagai cara DNS dapat dieksploitasi, organisasi dapat menerapkan langkah-langkah keamanan yang lebih efektif untuk melindungi jaringan mereka. Pemantauan DNS secara rutin, penggunaan DNS sebagai perisai proaktif terhadap ancaman siber, serta penerapan alat deteksi ancaman tingkat lanjut adalah langkah-langkah penting dalam melawan serangan yang semakin canggih ini.
Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Infoblox menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.
Pelajari lebih lanjut di Infoblox.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!