Skip to content

Expliquez l'exfiltration de données par DNS et comment une équipe bleue la détecterait.

Réponse courte

L'exfiltration DNS encode des données volées dans des requêtes DNS (par ex. de longs labels de sous-domaine envoyés à un serveur autoritaire contrôlé par l'attaquant), en abusant du fait que le DNS est presque toujours autorisé en sortie et souvent non surveillé. Détectez-la par des anomalies : volume de requêtes anormalement élevé vers un domaine, sous-domaines longs / à forte entropie, nombreux sous-domaines uniques par domaine parent, abus d'enregistrements TXT/NULL, et requêtes vers des domaines récemment enregistrés ou rares.

L'exfiltration DNS est une favorite parce que le DNS est le protocole que tout le monde oublie de surveiller. Les pare-feux bloquent la plupart des ports sortants, mais le port 53 est presque toujours ouvert, les hôtes internes font confiance au résolveur, et peu d'équipes inspectent le contenu des requêtes. Les recruteurs posent cette question pour vérifier que vous comprenez les canaux cachés et que vous savez construire une détection à partir des caractéristiques du trafic plutôt que de signatures.

Comment ça marche

L'attaquant contrôle le serveur DNS autoritaire d'un domaine qu'il possède, disons evil.com. Le malware sur une victime encode des fragments de données volées (souvent en base32/hexadécimal) dans des labels de sous-domaine et émet des résolutions comme Y2FyZHM.chunk2.evil.com. La requête parcourt la hiérarchie DNS jusqu'à atteindre le serveur de l'attaquant, qui journalise les données et peut répondre dans la réponse (par ex. un enregistrement TXT ou NULL) pour former un canal bidirectionnel — la base d'outils comme iodine et dnscat2. C'est lent et bavard, mais cela passe sous les contrôles de sortie et convient parfaitement au C2 et au vol de petites quantités de données.

Comment la détecter

Cherchez des anomalies statistiques, pas des chaînes :

  • Volume de requêtes élevé vers un seul domaine parent depuis un hôte.
  • Sous-domaines longs et labels à forte entropie (les données encodées paraissent aléatoires, contrairement aux vrais noms d'hôtes).
  • Nombreux sous-domaines uniques sous un même domaine (chaque requête transporte de nouvelles données).
  • Usage intensif des types d'enregistrement TXT/NULL et réponses volumineuses.
  • Requêtes vers des domaines récemment enregistrés, rares ou de faible réputation, et clients contournant le résolveur de l'entreprise.

Pourquoi c'est important

Les défenses consistent à forcer tout le DNS à passer par des résolveurs inspectés, le DNS firewalling / sinkholing, des flux de threat intel pour les domaines malveillants, et l'analyse des signaux ci-dessus. Une bonne réponse explique pourquoi le DNS est détourné, esquisse le mécanisme d'encodage dans le sous-domaine, et liste des détections comportementales — montrant que vous savez traquer des canaux cachés sans signature nette.

Questions de suivi probables

  • Pourquoi le DNS est-il un canal caché si attrayant comparé à HTTP ?
  • Comment un outil de tunneling comme iodine ou dnscat2 structure-t-il ses requêtes ?
  • En quoi un pare-feu DNS ou un sinkhole aiderait-il ici ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.