<div dir="ltr"><div class="gmail_default" style="font-size:small">It's not just NXDOMAIN; this exfiltration vector is simply a fact of life with a distributed "database" like DNS.  For example, consider a synthetic CNAME query from an already infected system that encodes dynamic information in the query itself; then the answer to the CNAME could be updated instructions for the exploit code.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">You'd almost have to log all queries and try to analyze them on the fly for anything that was "suspicious".</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">John</div><input name="virtru-metadata" type="hidden" value="{"email-policy":{"state":"closed","expirationUnit":"days","disableCopyPaste":false,"disablePrint":false,"disableForwarding":false,"expires":false,"isManaged":false},"attachments":{},"compose-id":"1","compose-window":{"secure":false}}"><br><div class="gmail_quote" style=""><div dir="ltr">On Mon, Oct 1, 2018 at 1:22 PM Chris via Unbound-users <<a href="mailto:unbound-users@nlnetlabs.nl">unbound-users@nlnetlabs.nl</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Welllll.... Ive done a lot of looking around and I just dont see any <br>
solution to this issue. Im not concerned with DoS attacks, those i could <br>
deal with. Im concerned for the stunningly stealthy 5 or 6 NXDOMAIN <br>
lookups from a scary actor. That kind of thing could transmit a small <br>
amount of really damaging info. Or.. A company using this to monitor <br>
each client with pings once a minute. The uses of this low rate <br>
communications channel is Unbounded and truly scary.<br>
<br>
I know this has been around a long time. Im sorry for my stunned <br>
amazement, I just ran into this.<br>
<br>
No matter how I rack my brain, I can't think of any way around this. <br>
Short of a registry of every domain before they can be used. So nothing <br>
should ever come up NXDOMAIN. Even then,, it will get abused.<br>
<br>
Man, just when I thought I was happy with TLS 1.3 for DNS and DNSSEC. <br>
Its just never ending.<br>
<br>
On 10/1/2018 4:03 AM, Chris via Unbound-users wrote:<br>
> I was reading a disturbing article on ways that DNS can be used to get <br>
> data past firewalls and for malicious programs to communicate with a <br>
> command and control center via DNS NXDOMAIN.<br>
><br>
> Right off hand I dont see a way to block this ? Looking at my NXDOMAIN <br>
> lookups its quite pervasive and coming from a large number of sources. <br>
> Its clearly being used by A LOT of people.<br>
><br>
> Is there a way I can use Unbound to mitigate this threat ? This is a <br>
> serious issue because i don't see how to block this.<br>
><br>
> <a href="https://www.plixer.com/blog/detecting-malware/security-vendors-teaching-bad-actors-how-to-get-past-firewalls/" rel="noreferrer" target="_blank">https://www.plixer.com/blog/detecting-malware/security-vendors-teaching-bad-actors-how-to-get-past-firewalls/</a> <br>
><br>
><br>
<br>
</blockquote></div></div>