Silvestro Di Pietro, una passione informatica.

02. Tecniche Dns Exfiltration

Panoramica delle tecniche di DNS Exfiltration attive nel 2025-2026

Panoramica delle tecniche di DNS Exfiltration attive nel 2025-2026

Dopo aver compreso perché il DNS rappresenta un canale di esfiltrazione così efficace, è fondamentale analizzare le tecniche specifiche utilizzate dagli attaccanti nel biennio 2025-2026. Non esiste un'unica modalità di DNS exfiltration: gli attori malevoli dispongono di un arsenale diversificato, ciascuna tecnica con caratteristiche proprie in termini di banda, stealth e complessità implementativa.

Tassonomia delle tecniche principali

Le tecniche di DNS exfiltration possono essere classificate lungo due assi principali: la quantità di dati trasferibili per singola query e la difficoltà di rilevamento. Comprendere questa tassonomia è essenziale per calibrare le difese.

1. Subdomain Encoding — La tecnica dominante

Il subdomain encoding resta nel 2026 la tecnica più diffusa. Il principio è semplice ma potente: i dati da esfiltrare vengono codificati e inseriti come sottodomini nella query DNS.

Una query legittima ha questa struttura:

www.esempio.com

Una query con subdomain encoding appare così:

aXNhY3JlZGl0Y2FyZA==.sess-8f3d2a1b.chunk017.c2-2026[.]xyz

I dati vengono tipicamente codificati in Base32 (case-insensitive, più tollerante rispetto alle restrizioni DNS sui caratteri) o Base64 custom. Ogni query può trasportare tra 40 e 180 byte di payload. La dimensione è limitata dal vincolo del protocollo DNS: ogni label (segmento tra i punti) può essere lunga al massimo 63 caratteri, e l'intero FQDN non può superare 253 caratteri.

Tool rappresentativi: Cobalt Strike, Sliver, Brute Ratel e innumerevoli implementazioni custom. La difficoltà di rilevamento è classificata come bassa-media, perché le query risultano visibilmente anomale in termini di lunghezza ed entropia — ma solo se qualcuno le sta effettivamente analizzando.

2. TXT Record Exfiltration — Quando serve più banda

I record TXT possono contenere fino a 255 byte per stringa, e un singolo record TXT può contenere più stringhe, portando il payload effettivo a 200-900+ byte per query. Questo li rende la scelta preferita quando l'attaccante ha bisogno di trasferire volumi maggiori di dati.

L'encoding più comune è Base64, hex o addirittura dati raw. Tool come DNScat2 e iodine sfruttano pesantemente i record TXT, e diversi ransomware moderni li utilizzano per esfiltrare credenziali e token prima della fase di cifratura.

La difficoltà di rilevamento è media-alta: i record TXT sono usati legittimamente per SPF, DKIM, DMARC e altre funzioni, quindi la loro presenza non è di per sé sospetta.

3. CNAME / MX / SRV Abuse — Varianti meno frequenti

Alcuni attaccanti sfruttano tipi di record meno comuni come CNAME, MX o SRV per trasportare dati. Il payload tipico è di 80-220 byte. Queste tecniche sono meno frequenti nel 2026 ma restano efficaci proprio perché molti strumenti di detection si concentrano su query A, AAAA e TXT, trascurando altri tipi di record.

4. Null-byte / Bit-flipping — Steganografia DNS

Questa è la tecnica più sofisticata e stealth. Invece di codificare grandi blocchi di dati nei subdomini, l'attaccante nasconde piccole quantità di informazione (8-64 bit per query) attraverso variazioni minime: un carattere cambiato, un bit flippato, la presenza o assenza di un null byte. Il throughput è bassissimo, ma la difficoltà di rilevamento è molto alta.

Queste tecniche steganografiche sono utilizzate in ambienti dove sono presenti EDR aggressivi e monitoraggio DNS avanzato. L'attaccante sacrifica la velocità per la furtività.

5. DNS over HTTPS (DoH) Tunneling — Il trend in forte crescita

Il DoH tunneling rappresenta l'evoluzione più significativa dal 2024. Incapsulando le query DNS in richieste HTTPS, l'attaccante può trasferire payload variabili (anche nell'ordine dei kilobyte) con una difficoltà di rilevamento alta — soprattutto se non si decifra il traffico TLS. Beacon moderni e malware del periodo 2024-2026 integrano nativamente questa capacità. Questa tecnica merita un approfondimento dedicato che verrà trattato nella Lezione 4.

6. Fast-Flux + DGA per Exfiltration

L'ultima categoria combina tecniche di fast-flux (rotazione rapida degli IP associati a un dominio) con Domain Generation Algorithms (DGA) per generare dinamicamente i domini di destinazione. Questa combinazione rende estremamente difficile il sinkholing e il blocco tramite Response Policy Zones (RPZ), perché i domini cambiano continuamente. È una tecnica tipica di gruppi APT e crimeware con infrastruttura agile.

Confronto concettuale

         STEALTH ↑
                 │  Null-byte/Bit-flip    DoH Tunneling
                 │        ●                    ●
                 │
                 │  Fast-flux+DGA    TXT Record
                 │       ●               ●
                 │
                 │  CNAME/MX/SRV   Subdomain Encoding
                 │       ●               ●
                 └──────────────────────────────→ THROUGHPUT

Ogni tecnica occupa una posizione diversa nello spazio stealth/throughput. L'attaccante sceglie in base al contesto: in una rete poco monitorata, il subdomain encoding è sufficiente; in un ambiente con EDR e NDR avanzati, si passa a DoH tunneling o tecniche steganografiche.

Nella prossima lezione analizzeremo in dettaglio il flusso operativo del subdomain encoding, con esempi concreti di query malevole osservate nel 2025-2026.

← Back to course