data exfiltration 101 - basics & dns tunnelling
TRANSCRIPT
![Page 1: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/1.jpg)
-
Data Exfiltration 101 - Basics & DNS Tunnelling
ืืืืจ ืืืจืืื ืืืช
ืืงืืื
ืืืฉื ืื ืืืืจืื ืืช, ืืืจืืข ืฉื ืืืืคืช ืืืืข ืืคื ืืืื ืืคืืืื ืืื ืืืืืื ืฉื ืื ืืจืืื, ื ืึฐืึดึผ : ืื ืืง ืืึน ืึดึผ
ืืืช ืฉื ืขืฉื ืืืืจื ืฉืืืืชื ืืืจืืข ืืื )ืืื ืื ืืืืข ืฉื ืืฉืชืืฉืื ืื ืงื ืืื ืจืืื ื ืืืจ( ืืื ืขืฆืื ืืื
ืคืฉืื ืฉืืืชืงื ืขื ืืืกืื ืืฉืงื, WordPressืืชืืืืชืืช. ืืฉืื ืืืืืจ ืฉืืืจืืช ืืืืืืช ืื ืื ืืชืจ
-ืืฉืืืฆืืช ืืืืข ืืชืื ืืืฉืืื ืฉื ืืฆืืื ืืจืฉืชืืช ืคื ืืืืืช ืืืจืฉืช ืืช ืื ืฉืืชืืืจ ืืกืจืืื ืืชืืจ
ืืฉ". -"ืืขืืืจ ืืกืคืจ ืืืืืช
ืฉืืืจืชื ืืืืืช ืืื ืืจื ืืืื ืขืกืงืื ืืื ืื ืืื ืืืืืืื ืืืื ืืืฉืชืืฉ ืืชืืื ืืช )ืื ืฉืืจืืชืื ืืืฆืื ืืื(
, DLP, ืืขืจืืืช IDSืืืจืฉืืช ืืชืื ืืจืฉืช )ืืืื' ืืขืจืืืช -ืืืช ืื ื ืืกืืื ืชืงืืคื, ืืืฉืืฉ ืื ืืืฉื ืื
(. ืืื, ืืืืืจ ืืจืฉืช ืืื ืืื ืืื ืืืืื ืก AI-, ื ืืืืจื ืจืฉืช, ืืืืืจืื ื ืื ืืืื ืฉืืฉืชืืฉืื ืEDRืืขืจืืืช
ืื ืืืืฆืื ืืฉื ืืืืข.ืื ืจืง ืฉืื ืื ืคืฉืื ืืืืื ืก, ืื ืื ืื ืคืฉ -ืืืืื ืืืืืจืื
[Freepik]ืืงืืจ:
ืืื ืฉืืืืื ืืืืืืจืื ื ืขืฉื ืกืืืืื ืืืืจืืืื ืืืชืจ, ืชืืงืคืื ื ืืืฆื ืืืฆืื ืฉืืืืช ืืฆืืจืชืืืช ืืืชืจ ืฉืืขืืจื
-ืืืืื ืืืชืจืืข ืขื ืื ืืื ืืื ืืืืชืืช ืืืืื ืืืืฆืืื ืืืืข ืืืืฉืืื ืฉืื ืื ืฉื ืืฆืืื ืชืืช ืืฉืืื,
IT ืฉื ืืืจืืื.
![Page 2: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/2.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
2 2021 ืืืืืกื ,132ืืืืื
DNS-ืื ืืื ืืชื ืจืืืื ืืช ืืกืืืืืฆืื(, ืืฉ ืืืจืื ืฉืื ืืฉืชื ืื. ืืขืจืืช ืืื ืืืืื ื )ืื ืืฆืขืจื ื, ืชื
)ืืื ื ืืืืข, ืื 3891ืืืฆืื ืืืชื ืืฉื ืช Paul Mockapetris-ืืืกืืกืืช ืืืขื ืืื ืขืืจื ืฉืื ืืืื ืืื ืฉ
ืื, -, ืกืจ ืืื ืืจื ืจืก3888ืืฉื ืช ืฉืงืฉืืจืื ืืื. ืื ืืื ืฉืื ืืืื ืืืกืืืืื(. RFC-ืงืจืืชื ืืขืืื ืืช ืื ื
:DNS, ืืืจ ืืฉืคื ืืจืชืง ืื ืืืข ืืืขืจืืืช HTMLืคืช ืืืืฆืื ืฉื ืฉ
ืืืขืจืืช ืืืืื ืืกืืก ืงืจืืื ืืื ืืื ืฉืจืืฆื ืืืืืฉ ืืืื ืืจื ื. ืืืขืจืืช -ืืืื, ืืฉ ืื ื ืงืืื ืืืื
ืืืจืืช ืืืขืจืืช DNS, ืื ืื ืืฉ ืืืืืจ ืืืื ืืจื ื ืืืกืคืง ืจืฉืช, ืืืกืจ ืืืฉื ืืฉืจืช Windows 10ืืืคืขืื
ืืื ืืืืืจ ืืื ืืจื ื ืืืื. - DNSืื ืื )ืืืขื ืชื( ืื ืืื ืืืฆืื ืกืื ืืคืื ืืื ืชืงืฉืืจืช ืืื ืืจื ื ืืื, ื
ืืจื ืฉืื ืชืืงืฃ ืืืื -ืฉืืื ื ืื ืืืืืช ืืจืืื ืขืืืืืช ืืืืืช ืืืืืช ืืืจ ืืืืื ืืืืืืจืื DNSืืขืจืืืช
ืืืืฆืื ืืืืข ืืืืฉื )ืื ืจืื ืืืืฉื ืื ืืื ืขืืฉืื ืืืช(.
ืืฉืชื ื ืงืืืืช ืืื: Data Exfiltrationืืืืืจ ืืื ืืกืงืืจ ืืช ืื ืืฉื ืฉื
ืื ืืืคืืื ืฉืืื ืืืื ืืืืืคืช ืืืืข? ืืื ืืฉ -ื ืืคืืื ืืช ืื ืืฉื - ืืืช ืืืื ืฉื ืืื ืืกื ืง
ืฉืืื ืืืฉืืืช? ืืฆืื ืฉืืืืช ืงืืืืืช ืื ืคืืฆืืช, ืื ืืชืื ืืืื ืืชืจืื ืืช ืืืกืจืื ืืช ืืืืืืื ืืื ืฉืืื.
ื ืขืืืจ ืขื ืชืืืื ืืืฉืืื ืืคืชืจืื ืืืขืืืช ืืืืืจื ืื ืืืช ืืขืจืืช ืืฉืื - ื ืงืืืช ืืืื ืฉื ืชืืงืฃ
, ืืืกืชืืืช ืขื ืืขืงืจืื ืืช ืฉืืืืืจื ืื ืงืืืช DNS Tunnellingืฉืืืืกืกืช ืขื Data Exfiltrationืืืืฆืืข
, ืืืฆืื ืืจื ืฉืื ืชืืงืฃ ืืืื ืืืขืืืจ ืืืืข ืขื ืืื ื ืืฆืื DNSืืืื ืฉื ืืืื ืืก. ืืกืงืืจ ืืช ืคืจืืืืงืื
ืืคืจืืืืงืื.
![Page 3: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/3.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
3 2021 ืืืืืกื ,132ืืืืื
ืืืื ืืกื ืงืืืช ืืืื ืฉื
ื ืฉืืืืช ืงืืืืืช ืืืืืข ืืืื ืืก, ื ืจืฆื ืืืืืจ ืืช ืืขืงืจืื ืืช ืืืกืืกืืื ืืืื ืื ื
)ืื ืืื ืืืืฆืื ืืช ืืืืื ืืืืฉ ืืฉืืคืฉืจ ืืงื ืืช Data Exfiltrationืืืืฆืืข
ืืืืืื ืงืืืืื ืืืฉืคืจ ืืืชื?(.
?Data Exfiltrationืื ืื
Darren Kitchen ืืืงืจ ืืืืื ืืืืืืกื ืฉื ,Hak5 ื ืชื ืืืืจื ืืจืชืงืช )ืืฆืื ืืช ,
ืขืืจืืช(:" )ืื "ืืืืืช ืืืืข" ืData Exfiltrationืืืคืืื( ืืืืฉื "
ืืืืฉื "ืืืืืช ืืืืข" ืืชืืจ ืกื ืฉื ืฉืืืืช ืืืืืืืช ืืืฉืืช ืืืืข ืจืืืฉ ืืืกืื ืืืจืฉืช ืฉื ืืจืืื ืืืืื ืฉื
ืชืืงืฃ. ืื ืงืืจื ืชืืช ืืื ืื ืฉืืชืืงืฃ ืืืจ ื ืืฆื ืืชืื ืืจืฉืช, ืืฉืืื ืืฆื ืืืฉื ืฉืืืื ืืช ืืืืืข
ืืืืืืืช ืขื ืืื ืงืื ืืจืฆืื. ืืชืืืื ืืืื ืืืืืช ืืื ื, ืขื ืืื ืชืืงืฃ ืืขื ืืืฉื ืคืืืืช ืืืืฉื, ืื ืืืืฆืข ื
ืฉืืฉืืื ืืจืื ืขื ื ืืืงื ืืืฉืื.
ืื ืชืืืื ืฉืืชืืจ ืืขืชืงืช ืืืืข ืื ืืืฉืืจ ืฉืืื ืื ืืจืฉืื ืืืืืืง ืืืืืข ืื "ื ื ืืฉื ืืชืืืื ืืืืืช
"ืขืจืืฅ ืชืงืฉืืจืช" ืฉืืื ืขืืื ืืจืื ืืฉืืื, ืืืงืืื ืืืื ืืช ืืืืืข ืืืชื -ืืืืข. ืืจืื, ื ืจืฆื ืืืฉืชืืฉ ื
ืืื ื ืืฉืื ืืืืจืื ืืฉืจืฉืจืช ืชืงืืคืืช ืกืืืืจ ืื ืืื ื ืจืฆื ืืืขืืืจ. ืืืฆืืช ืืืืืข ืืืืืฉื ืืื
ืืฉืืื ืื ืคืืืช ืืืฉืืืื ืฉืืคื ืื.
ืื ืชืืงืฃ ืืฉืื ืืืฉื ืืจืฉืช ืฉื ืืจืืื ืืืื, ืืืฆื ืืช ืืืืืข ืฉืืื ืจืืฆื ืืืืฆืื. ืื ืืขืช? ืฆืจืื ืืืืื
DLP, ืชืืื ืืช anti-exfiltrationืืื ืืฉืืื ืืช ืืืืืข ืืืจื ืื ืืชืืงืฃ ืืื ืืื ืืช ืืืชืืืง ืืชืืื ืืช
)ืงืืฆืืจ ืฉื IDS, ืชืืื ืืช ืฉื ืืขืื ืืืคืฉ ืืืขืฆืืจ ืืืืืืช ืืืืข(, ืชืืื ืืช Data Leak Preventionืืจ ืฉื )ืงืืฆ
Intrusion Detection System ืืืืืื ืืืืจื ืืจืฉืช(, ืืืื ืื ืืืืจ ืืจืฉืช ืืื' )ื ืคืจื ืขื ืื ืืืืฉื(. ืื ,
ืืชืงืืคื ืืืืื ืืืืืช ืืฉืืื ืื ืื ืืืฆืื ืืจื ืืืืฆืื ืืืืข ืืืจืฉืช ืฉื ืืืจืืื.
[Team Fortress 2 :ืืงืืจ]
![Page 4: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/4.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
4 2021 ืืืืืกื ,132ืืืืื
"ืกืืืจ"ื - ืืืืขื
(, ืงืจืืคืืืืจืคืจ ืืืชืืืืงืื ืืืขืจื, ืืชื ืืืืจ Gustavus J. Simmons, ืืืกืืืืืก ืกืืืื ืก )3891ืืฉื ืช
Subliminal the and Problemโ Prisoners The ืคืืจืฅ ืืจื ืฉื ืงืจื "ืืขืืืช ืืืกืืจืื ืืืขืจืืฅ ืืกืืืืืืื ืื" )
annelCh.)
ืืขืืืช ืืืกืืจืื
ืืืืืจ, ืืื ืืฆืื ืืช ืืืขืื ืฉืื ื ืืืืฆืขืืช ืกืืคืืจ ืฉื ืงืจื "ืืขืืืช ืืืกืืจืื" )ืื ืืืชืืืื ืขื "ืืืืืช
ืืืกืืจ" ืฉื ืชืืจืช ืืืฉืืงืื(:
ืฉื ื ืืกืืจืื ื ืขืืืื ืืฉื ื ืชืื ืืขืฆืจ ืฉืฆืืืืื ืื ืืื ืืื ืืชืื ื ืื ืืช ืืืจืืื ืฉืืื. ืืืชืจ ืืื ืืืืจ
ืืืข ืืช ืืฉืืื ืฉืืื. ืืืืจ ืืื ืขื ืืฉื ื ืืืช ืืจื ืืชืงืฉืืจืช ืืื ืขื ืืฉื ื ืืื ืืกืืืจ ืืืื ืืฉ
ืื ืืฉืืืจ ืืืืฉ ืฉืื ืืชืื ื ืื ืืฉืื, ืืื ืืขืืืจ -ืืื ืฉื ืืื. ืื ืืืืืื ืืืืืืจ ืืืคืฉืจืืช ืืืืืื
.ืฉืืื ืชืืื ืืช ืืืจืืืืืช ืืืชื ืืชืืื ืจืืืงืื ืืืชืจ, ืืืื ืืื ืข ืื ืชืงืฉืืจืช ืืื ืืื ืืืืจืืก
ืชืื ื ืืจืืื?ืืื ืืืืืื ืืืกืืจืื ืืชืงืฉืจ ืืื ืืื ืื
![Page 5: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/5.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
5 2021 ืืืืืกื ,132ืืืืื
: ืืฆืคื ื 1ื ืืกืืื ืคืชืจืื #
ื ืืื ืฉืืืขืื ืืืขื, ืืืืืื ืืืกืืจืื ืฉืืืืื ืืืืชืคืกื ืื ืืืืื ืืชืื ื ืืช ืืืจืืื ืฉืืื ืืืืฆืขืืช
ืฉืืืืฉ ืืฆืืคื ืงืืกืจ ืขื ืืคืชื -ืฉืืืืฉ ืืฉืืืช ืืฆืคื ื )ืืฆืืจื ืืืืืื ื ืฉืชืืฉ ืืฉืืื ืืกืืกืืช ืืืืชืจ(
ืืืชืืืช ืงืืืื(, 'ื' ืื 'ื' ืืื' : 5'ื' ืื 'ื' )-. ืฆืืคื ืงืืกืจ ืืื ืฆืืคื ืืืื, ืื ืฉ5
ืืฉืืืจ ืืื ื ืืืืข ืืืกืืจ ืืื, ืจืง ืฉื ื ืืืกืืจืื ืืืืจืื ืืช ืฉืืืช ืืืฆืคื ื ืืืื ืฉื ืืื ืืืืืื ืืชืงืฉืจ
ืืื ืืื ืืืื ืฉืืฉืืืจ ืืืื ืืช ืชืืื ืืฉืืื ืฉืืื )ืืื ืฉืืฉืขืื ืืื ืืืขืื ืืื ืื ืืชืจืื ืืช ืืชืงืฉืืจืช
(:ืืืืื ืื ืืขืฉืืช ืืืชืฉื ืืืกืืจืื
. ืืชืืฆืื ืืืกืจ ืืืืืืช ืฉืื ืืืืื ืืืชื ืืืจื ืื ืืืฉืื ืืืืืืจืืช ืฉืืกืืืจ ืื ืืืื ืืช ืชืืื ืืฉืืื,
ืืื ืืื ืฉื ืืืชื ืืชืืื ืจืืืงืื ืืืชืจ ืืขืืฆืจ ืื ืชืงืฉืืจืช ืืื ืืื )ืื ืื ืืืืืื ืืชืื ื ืืจืืื ืขืืฉืื(.
ืืื, ืืฆืคื ื ืืืื ืืื ืื ืคืชืจืื ืืืขืื.
ืขืจืืฅ ืชืงืฉืืจืช ืกืืื: 2ื ืืกืืื ืคืชืจืื #
ื ื ืกื ืืืืื ืืืจ. ืืืงืื ืืืฆืคืื ืืช ืืืืืข ืืืืื ืืกืจ ืืฉืืขืืช ืฉื ืืืชืืืช ืืขืืจืืช, ื ื ืกื ืืงืืื ืืืืข
ืืกืืื ืืืฉืคื ื ืคืืฅ ืืืืืื ื ืืขืืจืืช ืื ืืืืื ืืืืื ืืช ืืขืืจืืช:
"ืืื", ื ืชืืื ืืกืคืืจ ืืช ืืืืช ืืคืขืืื ืฉืืืืื ืืกืืืืืช -ืืืฉืจ ืืื ืืืกืืจืื ืืืืจ ืืฉืคื ืฉืืชืืื ื
ืขื ืขืฆืื. ืืืืจืืช
![Page 6: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/6.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
6 2021 ืืืืืกื ,132ืืืืื
ืืื ืคืขื ืฉืืืกืืจ ืืืืจ 2, ืื ืคืขื ืฉืืืกืืจ ืืืืจ "ืืชื" ื ืืกืืฃ 3ืื ืคืขื ืฉืืืกืืจ ืืืืจ "ืื ื" ื ืืกืืฃ
)ื ืชืืื ืืกืคืืจ ืจืง ืืืจืืข ืฉืื ืืืกืืจ ืืืืจ "ืืื", ืืื ืฉืื ื ืคืกืื ืฉืืืืฉ ืจืืื ืืืืืื 31"ืื ืื ื" ื ืืกืืฃ
ืืืกืืกืืืช ืืืื(:
ืช ืืชืืจ ืฉืืืช ืงืืืื ืืืกืคืจืื )ืื ืืืืจ ืื ืืืืืจ ืืฉืืื ืื ืฉืืจืชืืช ืืืื ืืืฉืชืืฉ ืืืืืื ืืขืืจื
ืฉืืืืชื ืืช ืื ืืืืจืืช ืืืฉืื ืืื ืืงืจื(. ืืืืคื ืืื ืืฉืืื ืืจืืฉืื ื, ืืกืืืจ ืืื ื ืืืืข ืืืืืช
ืืืฉืืขืืืืช ืฉื ืฉืืืช ืืงืืืื ืฉืืฆืจื ืืืกืืจืื. ืืืกืืจืื ืื ืืืืืืื ืฉืืืืจืื ืืช ืืฉืืื ืืืื ืื
ื ืฉืื ืฉืฉืืืขืื )ืืืื ืืกืืืจ( ืื ืืืืจืื ืืืืจืื ืืืืืช ืืืืืืื ืฉืืืื ืื ืื ืืช ืื ืืขืื ืฉืฉืืจ ืื
ืืืฉืื. ืืขืช, ืื ืืจืฆื ืืงืืืข ืืืืื ืฉืขื ืืืชืืื ืืช ืืืคืืจืืช ืืื ืืจื ืืฉืืื ืืืจืืื, ืืืื ืืื ืืื
ืืืืจ ืืฉืคื ืืื ืืืฉืคื ืืื:
ืื ืืืืื ืชื ืืื ืื ืจืืื ืฉื ืขืฉื ืคื ืฉืื ืืืจ ืืืื ื. ืืกืืืจ ืืืฉืจ ืืช ืืชืงืฉืืจืช ืืื ืืืืืืชืืฆืื?
ืืง ืืจืืฉ ืืืืคืืืื ืืืจืืช ืฉืื ืื ืจืื ืื ืืฉืชืืจืจื ืืืื ืืงืจืื )ืื ืื ืืืื ืืืืื ืชื, ืื ืืฉืคื ืืื
ืขื ืคืฉืข ืฉืขืฉื(, ืืื ืกืืื ืื ื ืจืืื ืืขืื ืืชืื ืื ืืจืืื ืืืืื.
ืืื ืื ืืืืืืื? ืืืืืืืช ืื. ืืื ืืคืืืช ืื ืขืืื...
![Page 7: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/7.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
7 2021 ืืืืืกื ,132ืืืืื
ืขืจืืฆื ืชืงืฉืืจืช ืกืืืืื -ืืคืชืจืื
ืกืืืชื ืืืืืืืช ืฉื ืืืืืื ืืืฆืืช ืฉืืืืช ืืืืืข ืืืคืืจืฉ ืืจื ืื ืฉืืื ืืจืืจื ืืืื ืืืจืื ืื
( ืฉืืชืืจืื ืื ืฉืืื CWE :Channels Covert-514ืืืจืฉืช. ืืื, ืืฉ ืฆืืจื ืืืฉืชืืฉ ืืขืจืืฆืื ืกืืืืื )
ืืคืจืืืืงืืื ืฉืื ื ืืชื ืืืขืืืจ ืืืืข ืืฆืืจื ืื ืืืืืช ืืจืฉืช ืืืจืืื. ืืจืื, ืขืืฉืื ืืืช ืขื ืืื ืฉืืืืฉ
(. ืขืจืืฆืื ืกืืืืื ื ืืืื T1572 MITRETunnelling: Protocolืชืงืฉืืจืช ืืฆืืจื ืื ืฉืืจืชืืช ืื ืืืชืจืช )
ืืกืืจืชืืืช ืืืื ืืฉืืืืฉ ืืื ืฆืคืื ืืื. Access Controlืืขืงืืฃ ืืขืจืืืช
ืขื ืืื ืฉืืืืฉ ืื ืฉืืจืชื )ืื ืืืจืฉื( -ืฉื ืฉืืืืฉ ืืขืจืืฅ ืกืืื ืืืืืื ืืืขืื ืืื ืืจืกื ืืกืืกืืช ืืืื
ืืฉืคื ืืขืืจืืช, ืืืกืืจืื ืืืื ืืชืงืฉืจ ืืื ืืื )ืืืฃ ืืขืืืจ ืืช ืืขืจืืช ืืืื ื ืฉื ืืกืืืจ(.
ืขืจืืฆื ืืชืงืฉืืจืช ืืกืืืืื ืืชืืืงืื ืืืืคื ืืก ืืฉื ื ืกืืืื ืืจืืืืื:
( 385ืขืจืืฆืื ืกืืืืื ืืืืกืกื ืืื-CWE :Channel Timing Covert) - ืขืจืืฅ ืชืงืฉืืจืช ืฉืืืืกืก ืขื
' ืืฆื ืืชืืงืฃ 1. ืืืืืื, ืฉืืืืชื ืฉื ืืืชื ืืืืืข ืคืขื ืืืงื ืืฉืืื ืืกืื 'ืชืืืื ืฉืืืืช ืืืืืข
'.3ืืคืขืืืื ืืืงื ืืฉืืื ืืกืื '
( 515ืขืจืืฆืื ืกืืืืื ืืืืกืกื ืืืกืื-CWE :Channel Storage Covert) - ืขืจืืฅ ืชืงืฉืืจืช ืฉืืืืกืก ืขื
.HTTP Header. ืืืืืื, ืฉืืืืช ืืืืข ืืฉืจ ืืืกืชืจ ืืชืื ืฉืื ืื ืชืืื ืืืืืข ืื ืฉืื
The Perfect Balanceืืืืืื ืืื ืกืืืืืช ืืืืืจืืช :
ืฉืื ืื ืืขืืืื ืืขืืื. ืืืืช ืืืืืข ืฉืืจืื ืืืจ ื ืืกืฃ ืฉืืฉืื ืืฆืืื ืื ืืืข ืืขืจืืฆื ืชืงืฉืืจืช ืกืืืืื ืื
( ืฉื ืืืืข ืืขืจืืฅ ืกืืื ืืื ืืฉืืขืืชืืช ืืืื ืืืชืจ ืืืฉืืืื ืืฉืืืืฉ 3Bื ืฉืื ืืฉืืื ืืืขืืืจ ืืืช ืืืื )
ืืคืจืืืืงืืื ืชืงืฉืืจืช ืืืืคื ืฉืื ืชืืื ื ื ืืืืืช ืืฉืืืืฉ. ืืืืจืืช ืืขืืจืช ืืืืข ืืืืฆืขืืช ืืืืืช ืืืืข ืืื
ื ืืื ืืืืชืจ, ืขื ืืืืืื ืืืืืื ืืืื.
ืืื ื ืื ืืขืื ืืฉืืื ืงืืฆืื ืืืืืื ืืืื )ืืื ืื ืื ืืชื ืื ืืืืจืื ืืฉืื ืืงืื(, ืืื ืืืืืจืืช ืื
ืื ืืืื ืื ืคืืืขืช ืืืืืืช ืฉื ืืืืืข ืืืืืืฃ ืืืจืื ืื ืืง ืืืจืืื. ืืืื ืกืืื ืืืืืข ืืจืืืฉ ืฉื ืืชื ืืืขืืืจ
ืืงืืืช:
ืืื( 252ืืคืชืืืช ืงืจืืคืืืืจืคืื )ืืืื ืืืืฆืข ืฉื
ืฉื ืืื ืืืื(ืชืฉืืืืช ืืฉืืืืช ืื/ืื )ืืืื
![Page 8: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/8.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
8 2021 ืืืืืกื ,132ืืืืื
ืืกืคืจื ืืืืช, ืืกืคืจื ืืืคืื, ืชืืจืืืื, ืงืืPIN...
...ืงืืฆืื ืงืื ืื ืืืจืื
ืืื ืฉืืฉืืื ืืืืืคืช ืืืืืข ืชืืื ืืืชืจ ืืืืจื, ืืืืชืจ ืืืืข ืืขืืืจ ืืืืืืช ืืื, -ืืื ื ืื ืก ืงืืข ืืขืืืชื
ืืื ืืจืื ืื ืืื ืืกืืืื ืฉืืืื ืืช ืืขืจืืฅ ืืืกืื. ืืกืืื ืืื ืืื ืื ืืขืจืืืช ืืืื ื ืืืจืืื ืืืช ืืืืงืืช,
ืงืจืืืจืืื ืื, ืืื ืืง ืื ืคื ืืืืืข ืฉืืืขืืจ ืืืืืืช ืืื. ืืืืืื, ืืืฉื ืืฉืจืื ืืืจืืื ืืจืื ืืืจืื ืืืขืื
ืืืืื ืืจื ื ืืืื, ืืื ืืื ืขืืฉื ืืืจื ืืื. ืฉืื ืื ืืชื ืืืืชื ืืฆืจืืืช ืืืื ืืจื ื )ืืื ืฉืืืืฉ 31MB-ื
ื ืื ื ืืื ื ืืืืจืชืืข ืืฆืจืืืช ืืืื ืืจื ื( ืขืืื ืืืคืขืื ืื ื x100ืืื ืืง ืฉื -ืืืื 3GBืืืกืืื ืฉื
ืืืืื ืืกืืจืืืจืื ืฉื ืืืขืจืืช.
Ping = ?ืฉืืื ืืืืืืช ืืืืข
ืขื ืื ืช ืืืืืืฃ ืืืืข ืืืืฉื ืฉื ICMPืืืืื ืฉืชืืืืจ ืืืื ืืช ืืืืืื ืืืืืืจ ืืื ืฉืืืืฉ ืืืืืขืืช
ืืื -ืืื ืคืจืืืืงืื ืฉืืฉืืฉ ืืืืจืช ืืืืื ืืขืืืช ืืจืฉืช, ืืขื ืื ICMPืืจืืื ืื ืืืฉื ืฉื ืืชืืงืฃ.
.ICMPืืฉ ืื ืืช ืืืืืืช ืืฉืืื, ืืงืื ืืืขืื ืืืืขืืช IPืืืช ืืืฉืืจ ืฉืืฉ ืื ืืช
)ืฉืืืืจ pingืืชืืจ ืขืจืืฅ ืกืืื. ืืืคืฆืื ืืืช ืืื ืืืฉืชืืฉ ืืืื ICMP-ื ื ืื ืฉืืืืชื ืจืืฆื ืืืฉืชืืฉ ื
ืืืืืช ืืืชืงื ืืื ืืืฉื ืฉืืืืืจ ืืืื ืืจื ื(.
![Page 9: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/9.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
9 2021 ืืืืืกื ,132ืืืืื
ื ืช ืืงืืืข " ืขื ืn-"-)ื ืฉืชืืฉ ื ICMPื ืืชื ืืืฉืชืืฉ ืืคืงืืื ืืืื ืืฉืืื ืืฉืืื ืืืืื ืืืืืช ืฉื
)ืืฉ ืืืืืื ืกืื ืืืื ืืื ืืคืงืืื ืืืื ืืงืก ืื ืืืจืืชืื ืืืื X.X.X.Xืืช ืืืืช ืืืืืืืช ืฉืืืฉืืื( ืืืชืืืช
ืืคืงืืื ืืืืื ืืืก, ื ืชืืืืก ืืกืื ืืืงื ืฉื ืืืื ืืืก(:
ืืืื! ืขืืฉืื ืฉืืฉ ืืืืืืชื ื ืืฉืืื ืคืงืืื ืืืืืช ืืืืฉื ืืืฆืื ื, ืืคืฉืจ ืืชืืื ืืช ืื )ืืืืช ืชืืื
ืจืืฅ ืกืืื ืืืืกืก ืืื(: ืืืืื ื ืืืจืช ืืฉืืืืฉ ืืข
ืืกืื ืืืืื ืืื ืืกืืื ืืฆื ืืชืืงืฃ, ืืฉืืืืช ืืืืื ืืืช 3ืืกืื ืืื ืืกืืืืืืืื ืฉืืืืช ืฉืชื ืืืืืืช
ืฉืืืืช ืืืช ืืืืืื, ืฉื ืืืช. ืืฉืืื ื 5ืืื ืื ืจืฆืฃ ืืงืฉืืช ืืฉ ืืืชื ื ืฉื ืืืืืื ืฉืื ื, ืืฆื ืืชืืงืฃ. 1
. (B/s 1.025: ืืจืืช ืืขืืจืช ืืืืข ืกืืืืืืฉื ืืืช ) 11ืืชืืงื ICMPืืืืืืช 32ืชืืจืืฉ ืขื ืกืืืืืช( 9)
" ืืขืฉื ืืช ืืคืขืืืืช ืืืืืช:313ืืืืืื, ืื ืืจืฆื ืืฉืืื ืืช ืืจืฆืฃ ืืืื ืืจื "
ืฉื ืืืช ืืืฆื ืฉื ืืื )ืื ืืืื ืืช ืืืืจืืช 5-ื ืืชื ืืืืจืื ืืช ืืื ืืืืชื ื ื -ืืจืืืฉ ืืืื? ืืื ืืขืื
ืืืืืืืช ื ืจืืืช ืืืืืืืืืช ืฉื ืืืช, ืืื ืื 1-ืืืืืืช ื 32(. ืืื ืื, ืขืืฉืื ื ืขืืืจ ืขื 31ืืืขืืจื ืคื
. ืื ืืืืจ ืืืืืืจ ืืช ืืฆืืจื ืืืืืื ืืื ืืงืฆื ืืืืื ืฉืื ืื ื ืืฆืจืืช ืื ืฉืืืืช ืืขืืจืจ ืืฉืืืืืืืื,
ืืขืืจืช ื ืชืื ืื ืืืืจื ืืืชืจ ืขืืืื ืืืฉืืฃ ืืช ืืขืจืืฅ ืืกืืื, ืืื -ืืืืจืืช ืืขืืจืช ืื ืชืื ืื ืืืื ืกืืืืืช
ืืื.ืขืจืืฅ ืกืืื ืืืืชื ืืืื ืืขื ืืืืจืืช ืืขืืจืช ื ืชืื ืื ื ืืืื ื
ืื ืืฉืืื ืขืจืืฆืื ืกืืืืื ืืืืกืกื ืืืกืื )ืื ืืืื ืืฉืืื ping-ืื ืืืืืืืืช ืขืกืงืื ื, ืืคืฉืจ ืืืฉืชืืฉ ื
ืขื ืขืืฉืื ืฉืืืืชื ืืืืกืกืช ืขื ืืื(.
![Page 10: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/10.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
11 2021 ืืืืืกื ,132ืืืืื
ืืืชืืื ื ืืช ืขื ืืคืจืืืจืื ืฉืืคืฉืจ ืืืืื, ื ืืชื ืืจืืืช ืืื ืฉืืืช ื ืืกืคืื ืฉืืคืฉืจ ืืงืืื ืืืืื ืืืืข:
ืืืืืจ ืืช ืืืจื ืืืืืข ืฉืืชืืืกืฃ ืืืืืื ืืื ืืชืช ืื ืืคืจืืืจ ืืื - (l size-ืฉืื ืื ืืืื ืืืืข ) .1
ืืชืื(. ืขื ืืื ืฉืื ืื ืืืกืคืจ ืืื ื ืืชื "ืืืืชืช" ืืชืืงืฃ ืืืื ืขืจืืื 12 -"ืืฉืงื" )ืืืื ืืจืืจืช ืืืื
ืจืื ืืืื ืฉื ืืืืข. ืืืืื ืฉืืคืจืืืจ ืืื ืฆืจืื ืืืฆืืืง ืืฉืืจื ืืืืข ืฉืืืืจ ืืืืืช ืงืืื ืืืืืื,
pingืืืืืื ืฉื ืืฆืจื ืขื ืืื -ืจ "ืืืืข ืฉืจืืจืืชื" )ืืชืืื ื ืืชื abc-ืืฆืื ืืช ืืืชืืืช ื pingืืขื ืื,
ืืชืื ืืืืืืข ืืฉืจืืจืืชื ืืกืืื ืืืืื(: 12ืฉื bufferืืืืื
ืืืืกืจืื ืืืจืืื ืคื ืืื ืฉืืขืจืืฅ ืืกืืื ืขืืื ืืืชืืืืช ืืืืืืจืก ืืืฉืจ ื ืฉืชืืฉ ืืขืจืืื ืืืืืื ืืื
( ืื ืฉื ืฉืื ืืืชืจ ืืื ืืงืฉืืช ืืืืื ืืื ืงืฆืจ ืืื death of Ping-)ืืืขืจืืช ืชืืฉืื ืฉืืืืืจ ื
(.attack Smurf-ืื ื Flood Ping-)ืืืขืจืืช ืชืืฉืื ืฉืืืืืจ ื
![Page 11: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/11.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
11 2021 ืืืืืกื ,132ืืืืื
(. 1-255ืกืืืืืช ืฉืื ืื ื ืืืืืื ืืืืืืจ )ืืื 9ืืื ืืกืคืจ ืืืืื TTL - (i ttl-ืืืื )-ืืฉืื ืืื ืฉืืืืฉ .2
ืจืืฉืื ื )ืฉืื ืื ืฉืื ืื ื ืืืืืจืื(. ืืื TTLืืืืง ืขื ืืืกืคืจ ืืื ืคืฉืื: ืืืืื ื ืืฆืจืช ืขื ืขืจื
. 3-ืชืื ื ืืจืฉืช, ืืื ืืืฉืืจ ืื ื ืชื ืฉืืจืื ืขืืืจืช ืืืืืื ืขื ืืืืขืชื ืืืขืื, ืืืกืคืจ ืืื ืืืจื ื
ื ืืขื ืืื ืืช ืืช ืืืืช ืืชืื ืืช ืืืขืฆืืจ TTL, ืืืืืื ืืืื ืืืืชืงืืื. 1-ืืฉืจ ืืืกืคืจ ืืื ืืืืข ืื
ืืคื ื ืฉืืื 1-ืืืืืืช ืฉืขืืฉืืช ืืืืืืช ืืชืื ืจืฉืชืืช ืืืฉืืื. ืืืงืฉืจ ืฉืื ื, ืื ืืืกืคืจ ืืื ืืืืข ื
ืืื ืื ืืืืข ืืชืืงืฃ. -ืืืืข ืืชืืงืฃ
)ืขื ืืื 21-ื ืืื ื TTLืืืืื ืขื ืืืจืื ืืชืืงืฃ ืืงืื ืืช ื 21ืฉื TTLืขื ืขืจื pingืืืฆืืข ืคืงืืืช
ื ืืื? ืชืืื ืืืกืคืจ ืืชืื ืืช ืืืจื(. ืืืจืืช ืืขืืืืช ืฉื ืขืฉื ืืฉืื ืืืื ืืฉืืืื ืฉืื, ื ืืชื ืืืืืืจ
TTLืจืืฉืื ืืื ืฉืืืื ืฉืื ืื ืื ืืื ืืืืคื ืืืืืง ืืืืคืจืื ืืื ืืื. ืืืื' ืขืจื TTLืื ืฉื ื ืขืจืื
ืืช ืืืจื(. ืืชืืงืฃ ืืืื ืฉืื ืืืชืจ ืชืื 31)ื ืืื ืฉืืฉ 391ืืชืงืื ืืฆื ืืชืืงืฃ ืืชืืจ 211ืืชืืืชื ืฉื
, 91-ืชืชืงืื ืืฆื ืืชืืงืฃ ื 311ืืชืืืชื ืฉื TTL'. ืืืืื ืืืจืช, ืืขืืช 3ืืืื ืืื ืืงืื ' 311-ื
'. ืืืช ืฉืืื ืืืื ืืฉืืื ืืจืืฉืื ื ืฉืื ื, ืื 1'-, ืืชืืงืฃ ืืืื ืฉืืืืืจ ื311-ืืืืืจ ืืืขืจื ื ืืื ื
ืฆืืจื ืืืืชื ื(. ืฉืืื ื ืืืืกืกืช ืขื ืืื, ืื ืืืืื ืืืคืฉืจ ืฉืืืืช ืืืืืืช ืืจืฆืฃ )ืืื
ืชืื ืืช ืืืจื ืืชืืงืฃ 311-ืืงืจื ืงืืฆืื ืคืืื ืฆืืืื ืฉืืืื ืืืจืืก ืืช ืืฉืืื ืืื ืื ืื ืืฉื ื ืืืชืจ ื
ืืชืืืชื TTLืืืืืืืช ืขื 311-ืชืืืข ืืชืืงืฃ ืขื ืขืจื ื ืืื ื TTL 211)ืืืืืจ ืฉืืืืื ืฉืืชืืืื ืขื
TTL-ืืช ืขืจื ืืื ืืืืขื ืืชืืงืฃ ืืื(. ืืืจ ืืคืฉืจื ื ืืกืฃ ืืื ืฉืืฉื ื ืชืื ื ืืืจื ืฉืืืจืกืช 311ืฉื
ืงืืืข. ืืงืจืื ืืื ืคืืืขืื ืืขืจืืฅ ืืกืืื ืืืชืืืจ TTLืขืืืจ ืื ืืืืืืืช ืืขืืืจืืช ืืจืื ืืืฆืืื ืขืจื
ืืื ืืืืกืืื ืืืชื ืืืืืืื.
![Page 12: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/12.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
12 2021 ืืืืืกื ,132ืืืืื
"ืคืชืืืืช" Wi-Fiืืขืงืืคื ืฉื ืจืฉืชืืช ICMP Tunnelingืืื ืืก:
"( ืืื ืคืจืืืืงืื ืืกืืกื Protocol Message Control Internet: 792 RFC"-)ืืืืืจ ื v4ICMPืคืจืืืืงืื
ืื ื ืืขื ืืืืืื ืฉืืืืืช ืฉืืฉืชืืฉืื ืื ืจืืืื ืจืฉืช )ื ืชืืื, ืฉืจืชืื ืืื'(. ืืคืจืืืืงืื ืืื, ืืืืืจืชื,
ืืื ืฉื ื ืืืฉืืื, ืืื ืจืง ืืืืืง ืืช ืืื ืืชืงืฉืืจืช ืืื ืืื. ืืืื, ืืืืืื ืืืขืื ืจืืื ื ืืืขืืืจ ืืืืข
( ืืชืื ืืืืืื, ืืืื ืืฉ ืื ืืช ืืืืืืช ืืกืืื ืืืืข. abcืฆืื ืืืืข ืฉืจืืจืืชื )ืืืชืืืช ื pingืฉืืืื
ืืืคืจื ืฉื ืืคืจืืืืงืื ื ืืื ืืืฆืื ืืช ืืฉืื ืืืืจืื:
ื )ืฉืืื ( ืฉืคืืขืืืช ืืืืชื ืจืProtocol Internet: 791 RFC) IPืื ืชืืกืคืืช ืืคืจืืืืงืื ICMPืืืืขืืช
( IP Header -)ืืชืืื ื IPืืฉืชืืฉืืช ืืืืชื ืฉืืืช ืืื ืคืจืืืืงืื ICMP(, ืืืื ืืืืขืืช OSIืฉืืืฉืืช ืืืืื
(. ICMP Header -ืืืืกืืคืืช ืืื ืืฉืืื )ืืชืืื ื
ืกืืืืืช ืฉืืชืืจ ืืช ืืืื 32ืฉื ืืชื ืืืืืืจ ืืืืื Total Lengthืืืืืง ืฉืื IPืืคื ืืืืจื, ืคืจืืืืงืื
25,515(. ืืืืืจ, ืืืืื ืฉื ืืืืื ืืืช ืืืืืืช ืขื ืืืืื ืฉื 25,515ืขื ืืืืืื ืืืืืืช )ืื ืืกืคืจ
ืืื ICMPืืชืื ืืืืขืช Data, ืื ืืืงื ืืืืื ืฉืื RFC972(. ืื ืืกืฃ ืืื, ืืคื Headers-ืืชืื )ืืืื ื
ืืกืืื ืืืืื(. -ืืฉืื ืื ืืืืข ืฉืจืืจืืชื, ืฉืื ืืืืื ืืืืื ืช ืชืืื )ืืชืืื ื
. IPืชืืืืช ืืคืจืืืืงืื Total Lengthืจืื, ืืืื ื ืืืขืช ืืืฉืื ืืืืืื ืืืืืื ืฉื ืืฉืื ืื "ื ืืื ืืื
( ืฉื ืืืืข ื ืื ืืชืื ืื 65.5KB~ืืชืื ) 25,511ืืฉืชืืฉ ืืืื ืืืขืืืจ ืขื -ืืื ืื ื ืืืข ืืฉืื ืืืืื
, ืืืจืืช ืฉืืื ืืืื ืื ื ืืขืื ืืืขืืจืช ืืืืข.ICMPืืืืืช
-ืืคืจืืืืงืื ืืืจ )ืื ืฉื ืงืจื "ืขืืืคืื" ืืืืข ืฉื ืคืจืืืืงืื ืืื-ืืืืจื ืืฉื ืื, ืงืื ืคืจืืืงืืื ืฉืื ืื ืฉ
Tunneling Protocol ืืืืคื ืืืขื, ืืื ืืคืจืืืืงืืืื ืฉื ืืฆืืื ืืฉืืืืฉ ื ืคืืฅ ืืชืืืื ืืื ืืื .)ICMP
)ืฉืื ืื ืืืืื ื ื ืืื ืืืืืืช ืฉืื ืืืขืืืจ ืืืืข ืืืจืืช ืฉืืื ืืื ื ื ืืขื ืืื(.
Tunneling ICMP ืืื ืกืื ืฉื ืชืงืฉืืจืช ืกืืืื ืฉืื ืืืืืืชTCP ื ืขืืคืืช ืืืืืืชICMP ืื ืฉืืืืช
ืื ืืืืื ืืช TCP(, ืืื ืืชืืคืฉืจืช ืชืงืฉืืจืช Echo)ืืงืฉืืช ping-ืืืงืฉืืช ืฉืืืืืช ืืืงืฉืืช ืืืืฆืืืช ื
ICMPื ืืืจื, ืืงืืืื ืขืจืืฅ ืกืืื ืฉืืขืืืจ ืืืืืืช . ืื ืืืกืืคืื ืืฆืคื ICMPืืืื, ืืืืฆืขืืช ืคืจืืืืงืื
ืื ืืื ICMPืฉื ืจืืืช )ืืืกืืช( ืืืืืืืืืช. ืืื ืืช, ืืื ืกืืื ืืชืืื ืืช ืืื ื ืืืืืง ืืช ืืชืืื ืฉื ืืืืืช
![Page 13: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/13.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
13 2021 ืืืืืกื ,132ืืืืื
ืื ืืืืจื ืืืืื ืืืืข ืฉืืื ืืืชืจ ืืืืชืืืช ืฉืจืืจืืชืืืช )ืืืจืืช ืฉืืืื ืื ืืชืืื ืืช ืืืจ ืืชืจืืื ืืื
ืขืจืืืืช ืืืชืื(. ืืื ICMPืฉืืคืฉืจ ืืืขืืืจ ืืืืข ืืืืฆืขืืช
, ืืคืขื ื ืืช ืืืืืข ICMPืืืืืืช ืืืืืข ืฉื ืฉืืืืช ืืืืขืืช ืืฉืจืช ืืื ืืื, ืฉืคืืชื ืืช ืืขืืืคื ืฉื
(. IP Masquerading-ืืฉืืื ืืืชื ืืจืืื ืืจื ืืืื ืืจื ื ืืฉืจืช ืืืื ืืืงืื ืจืืฆื ืืืชืืืจ )ืฉืืืืฉ ื
ืื ืฉืืืช ืื ืืืงืื. ICMPืืชืฉืืื ืฉืืชืงืืืช ืืืฉืจืช ืืืฆืคื ืช ืืืืฉ ืื ืขืืคืช ืืชืืจ ืืืืืช
, ืืืืืื ืืื ืืก ืืขื ืืื ืืืืชืจ. DhavaKapilืฉื icmptunnel, ืืื Tuneling ICMPืคืจืืืงืืื ืฉืืฆืืขืื
. Portal aptiveCืืคืจืืืงื ืืืืช ืืื ื ืืืื ืืฉืืฉ ืืืืืืช ืืืืข, ืื ืืื ืื ืืฆืืื ืืขืงืืคื ืฉื ืืขืจืืืช
ืืจืฉืชืืช ืฉื ืจืืืช ืฉืืื ื ืืืื ืืช ืืกืืกืื ืื -ืืฆืืืืจืืืช "ืืคืชืืืืช" ืื ืื ืืจืืช ืื ื Wi-Fi-ืจืฉืชืืช ื
ืืค ืฉืืืงืฉ ืืืืืช ืื ืืกืฃ. -ืืืขืื ืืืืืืจ ืืืืื ืขืืื ืืืื ืคืืค
ื ืฉืจืช ืฉืืืืื ื 112)ืงืื HTTPืืจืืืช ืืขืจืืืช ืืงืจืช ืืืืฉื ืืืื ืืฉืชืืฉืืช ืืืคื ืื ืืืืฆืขืืช
)ืื ืืืืืื ืืืืื ืื ืฉืจืช ืืืืืืช(. ืืจืื, ืืืขืจืืืช ืืืื DNS( ืื ืืคื ืื ืืืืฆืขืืช 533ืืืืืืช, ืื ืงืื
ICMP(. DNS)ืื ืืจืื ืขืืืจ UDP( ืื ืืืืืืช HTTP)ืื ืืจืื ืขืืืจ TCPืืืคืฉืืช ืืืืคื ืืงืืืื ืืืืืืช
ืฆืืื ืืืืช ืฉื ืืจืฉืช )ืืื, ืื ื ืืขื ืืืขืืจืช ืืืืข ืืืจื ืืื, ืืืกืืื ืฉื ืืคืจืืืืงืื ืืืืื ืืคืืืข ืืคืื ืง
ืื ืกืืืจ ืฉืืืืื ืืืชื(.
, ืืื ืืืื ืืืืคื ืชืืืืจืื ืืขืงืืฃ icmptunnel, ืืื Tunneling ICMPืขื ืืื ืฉืืืืฉ ืืชืืื ืืช ืฉืืฆืืขืืช
Captive Portals ืคื "ืคืชืืืืช", ืืื ืืืืืช )ืืืืื ื!(.-ืืืืชืืืจ ืืจืฉืชืืช ืืื
![Page 14: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/14.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
14 2021 ืืืืืกื ,132ืืืืื
ืืื ืขืืฉืื ืขื ืืืืืข? ืขื ืืืืกื, ืืฆืคื ื ืืงืืืื ืืืืข
ืืขืช ื ืขืกืืง ืืืืง ืฉืืฉืื ืื ืคืืืช ืืืืืจืช ืืขืจืืฅ ืืกืืื, ืืืื ืืชืืืื ืฉื ืฆืืจื ืืืขืืืจ ืืช ืืืืืข
ืฉืื ื ืืคื ื ืฉืืืืชื. ืืคื ืฉื ืืชื ืืจืืืช, ืขืจืืฆืื ืกืืืืื ืืืื ืขื ืืจืืฉืืช ืฉืื ืืช ืื ืืืข ืืืืืข ืฉื ืืชื ืืืฆืื
ืช, ืื ืืืื ืืขืืืจ ืืืจืืืช ืืขืจืืฆืื ืืกืืืืื ืืื ืืฆืืชื ืืฆืืจื ืืืจืช, ืื ืืื. ืืืืืข, ืืฆืืจืชื ืืืืืื
ืืืงืื. -ืืืืงื ืฉืื ืืชืชื
ืืฉืืืืืจ ืขื ืืืืืข ืืืืขืืจ, ืืฉ ืื ื ืืกืคืจ ืืืจืืช ืฉื ืจืฆื ืืืฉืื:
ืืืชืจ ืฉื ืขืืืจ ืืืื ืืืืจ, (ืืืืกื) ืงืื ื ืฉืืืชืจ ืืื ืชืืืืืืืืข ืฉื ืฆืืจื ืืืขืืืจ ืฉืืืืช ื ืจืฆื
. ืืืชื ืืืกืืจื ืฉืื ื ืืกืืื ืืขืจืืฅ ืืช ืฉืืืื ืืกืืืื ืืขืืืืืืข ืืืืจื ืืื ืื
ืืืืืืช ืืืชืืื ืืืืื ืืคืขื ื ืืืจื ืืืื ืืื ืฉืืขืจืืืช ืืืืื ืืืืขืืจ ืืืืืข ืืช ืืืฆืคืื ื ืจืฆื
)ืืฆืคื ื(. ืจืืืฉ ืืืืืข ืฉืืืืืจ
ืื ืฉืชืชืืื ืืขืจืืฅ ืืกืืื )ืงืืืื ืืืืข(, ืืืืืข ืืช ืืฆืืืื ืื ืื ื ืื ืืืจื ืืช ืืฉื ืืช ื ืจืฆื
. ืืืื ืืฆืืจื ืืืช ืืืขืฉืืช
ืื ืืฉื". ืืฉื ืื ื ืฆืืจื ืืืกืชืืจ ืืืืข ืืกืื -ื ืืืืืืื ืฉืืืชืจ ืืื ืืืจืื ืฉื ืขืืืจ ืฉืืืืืข ืจืฆืื "
ืืืืืจ ืืื(. ืืื, ืืื ืื ื ืืื ืก ืกืืื ืืืจืคืืืืชืื ืืืืข ืืืืืืื )
ืฉืืืืฉ ืืืืืกื
ืืกืจืืื ืฉื ืื ืืชื ืื ืืืืจืื ืืช ืืขืงืจืื ืืช ืืืกืืกืืื ืฉื ืืืืกื, ืื ื ืืืืืฅ ืฉืชืฆืคื
Techquickie ืฉื ืืชื ืืกืืจ ืืืื ืขื ืฉืืืืช ืืืืืกืช ื ืชืื ืื ืืืื ืื ืขืืืืืช. ืื ืืกืืจ
ืืืชืื ืฉื ืฉืืฃ ืืืงืกืืกื ืืขืืืง ืืืชืจ ืืื ืื ืฉืืชื ืืืคืฉืื, ืื ื ืืืืืฅ ืืืื ืขื
ืืื, -ืฉื ืื ืกืช ืืขืืืง ืื ืืฉืืื ืืื ืงืื ืืืคืื, ืืืืืจืืชื ืืืคื 312( ืืืืืืื cp77fk4rืืืคืืง ืงืกืืืื )
. Web-ืืขื ืืฉืืืืฉืื ืฉื ืืืืกื ืืขืืื ื
ืืงืื ืช ืืืืช ืืืืืข ืฉืขืืืจ ืืชืืื ืืื ืื -ืืืืกื ืืื ืืืจ ื ืืืจ, ืื ืืื ืขืื ื ืื ื ืขื ืฆืืจื ืืกืืกื
ืืฉืืฃ ืืช ืืขืจืืฅ ืืกืืื. ืืคืจืืืงืืื ืงืืืืื ืฉืขืฉืืชื ืืืืชื ื ืืื ืืืืืก ืื ืคืืกืช ืืืืข ืืืืฉืื ืฉืื ื
ืืขืฉื ืืช ืืืืืข ืงืฆืจ ืืืชืจ, ืืืืจืื ืื ืืขืืืจ ืืืจ ืืืชืจ ืืจื ืืจืฉืช.
![Page 15: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/15.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
15 2021 ืืืืืกื ,132ืืืืื
ืื ืืืจ ืืืื ืืืืชื ืฉืืฉ ืืงืจืื ืฉืืื ืื ื ืจืฆื ืืืืืก ืืช ืื ืชืื ืื ืฉืื ื:
ืืชื". ืืืืืจ, -ืืืืกื ืืื ืืฉืืง ืฉื "ืงื - (ืืขื ืืื ืืืืข ืื ืืืืข ืจื ืืืืื ืืื )ืืื ืืชืืจืืช .1
ืืืืกืืช ืฉืื ืืช ืืืืืืช ืืืงืืื ืืช ืืืื ืืืืืข ืืืืืื ืืื ืื ืฆืจืืืืช ืืืืกืืฃ ืืืืข ืืฉืืื ืืจืืฉ
(, ืงืื ืืืืชืืจ ืฉืืืืืช ืืืื ืื ืื ืืืืข ืฉืงืจืืื ืืฆืืจื ืืคืชืืื ืฉื ืืืืืกื File Headerืืงืืืฅ )
ืืจื ืงืฆืจ ืืื, ืืืฆืืข ืืืืกื ืืืื ืืขืฆื ืืืืืื ืื ืืืืืข ืืืง)ืืื ืืขืฅ ืืืื ืืจื ืืงืื ืืืคืื(. ืืื,
, ืฉืื ืื ืืืจ ืจืฆืื. ืื ืืกืฃ, ืืืืข ืฉืืื ืื ืืชืืจืืช ืื ืชืื ืืืช ืืืฉืื ืฉืืืืจืืช ืขื ืืช ืืชืืฆืจ ืืกืืคื
ืืืืื ืฉื ืืงืืืฅ ืืืืืก ืื ืืืื ืขืฆืื )ืืื ืืืืข ืจื ืืืืื ืืืืืืื( ืื ืื ืืืืื ืขื ืืืืกื, ืืืืจ ื
. ืงืื ืืืจืื ืืืืื ืืืืืข ืืืงืืจื
ืืืจืืืช ืืืงืจืื, ืืืฉืจ ื ืืืืก ืืืืข, ืื ืื ืืื ืืงืกื ืืืฆืื - ืืืก ืืื ืื ืืงืกืืืืืืืืืข ื .2
. ืืกืืื ืืื ืืื ืื ืคืืจืืื ืืืืกื ืจืืฆืื ืืชืคืืก ืืื ืืงืืืฅ ืืืืืก ืืจืื ืื ืืืื ืืงืกืืืืงืืจื,
ืืืขืืืจ ASCII-ืฉืคืืืช ืืงืื, ืืืืืช ืืื ืฉืืืชืจ ืืขืืืื, ืืืคืชืจืื ืืื ืืื ืืขืืื ืืช ืขืืื ืืืชืืืช ื
ื ืืจื. ืืจืื, ืืืช ืื ืชืืื ืืขืื ืืฆืื ื ืื ืืจืืืช ืืฉืืืืช ืืืืฆืืข ืืืืืช ืืืืข ืฉืืฆืื ืืื ืืืืืข ืื
(. ืขื ืืืช, ASCIIื ืืขืื ืืืขืืืจ ืกืืืืืช ืืื ืืจืืืช )ืื ืฉืืื ืืืืื ืืืฉืื ืฉืืืืืืช ืฉืืืืฉ ืืืืชืืืช
ืืฉืื ืืืืืจ ืืช ืืฉืื ืื ืืื ืฉืืืืจืื ืืืืข ืืืื ืืจืื ืืืืก ืืืื ืืจื.
ืืื ืื ืืืจ ืืืืืฉื ืืืจืืื ืืจื ืืืฆืข ืืช ืืืื ืืืืืกื ืื ืืกืฃ, ืืฉ ืืืืืจ ืฉืืืืฉื ืฉืืฆื
-ืฉืืฉืชืืื ื ืขืืื )ืฉืืืืืง ืืช ืืืืืข ืืจืืืฉ(. ืื ืืืกืืฃ ื ืืื ื ืืกืฃ ืฉื ืืงืืืืช ืืืชืืฉื ืืื
ืืืฉืืืื ืฉื ืืืืฉื )ืืืืื ืช ืืืืืช ืืืฆืข ืืช ืืืืืกื(, ืืจืฉืืืช ืืฉืชืืฉ ืืืื ืืช, ืืืกืคืช ืงืื
ืืืืจืืก. ืืจืืืชื ืจืฉืืื -ืืช ืขื ืืื ืืขืจืืืช ืื ืืืืืื ืืืชืื -ืฉืชืขืฉื ืืช ืืืืืกื, ืืื ืื RATืืชืืื ืช
ืฉื ืงืจืืืจืืื ืื ืฉื ืืชื ืืืชืืืืก ืืืืื ืืฉืืืืจืื ืืืืกื ืืฉืืื ืืืืืืช ืืืืข:
ืื ืืฉืื ืืืื - (specific-purposeืืืืกื ืกืคืฆืืคืืช ) .vs( general-purposeืืืืกื ืืืืืช ) .1
ืื ืื ืื ืืื'. ืฉืืืืช ืืืืกื ืื ืืคืืจืื ืฉืื, ืืื ื -ืืืืืจ ืืช ืืืืืข ืฉืื ืื ื ืจืืฆืื ืืืืฆืื ืืืจืฉืช
( ืืืืขืืช ืืืืืก ืื ืจืฆืฃ ืืชืื, ืืืืืฆืื ืงืืืฅ ืืืืก ืืกืืฃ. ืืืืกืืช ืกืคืฆืืคืืืช, ืืขืืืช gzipืืืืืืช )ืืื
ืืืช, ื ืืขืื ืืคืืจืื ืืกืืื ืืฉืื ืืืืขืืช ืืื ืื ืฆื ืืืชื ืืฆืืจื ืฉืื ืืืืืกื ืชืืื ืืืืืืช ืืืชื.
. PDFืืื ืืืืืกืช ืืืืืื ืื ืงืืฆื ืืืืกืช ืงืืฆืื ืืืืืื ืฉืื ื ืืืื ืืืืืกืช ืชืืื ืืช ืืื ืฉืื ืืช ื
ืืืืื, ืื ืชืืื ืืช ืื ืื ืฉืืชื ืืขืื ืืื ืื ืืืืฆืื ืืจืฉืช ืืืจืืื, ืืืื ืชืฉืงืื ืืืงืืื ืืช ื
ืื ืืืืข ืืขืฉืืช(, ืื ืืืฉืชืืฉ ืืืงืืื ืชืืื ืืช ืืืืืื ืืื gzip-ืืจืืืืืฆืื ืฉื ืืชืืื ื )ืืืจ ืฉ
MozJPEG , ืฉืืืื ืืืงืืื ืืฉืืขืืชืืช ืืช ืืืื ืืงืืืฅ ืืืื ืืืื ืืจืื ืืืืืืช ืืชืืื ื )ืฉืืคืืจ ืฉื
app.squooshืืขืืืช ืืืืกื ืืืืืช(. ื ืืชื ืืืืืช ืืืื ืฉื ืืืืกืช ืชืืื ืืช ืืืชืจ %911-ื %111ืืื
ืืืืช ืฉืคืฉืื ืื ื ืืชื ืืืฉืื ( ืืชืืฆืืืช ืืจืMozJPEGืฉืืฆืื ืฉืืืืช ืืืืกื ืฉืื ืืช ืืชืืื ืืช )ืื ืืช
ืขื ืืืืกื ืจืืืื. ืขื ืืืช, ืื ืืืืชื ืืืืจ ืืืกืคืื ืืช ืืืืืกืืช ืืืืืืืช.
ืืกืืื ืืืจืืืืช ืืื ืืื ืื ืืืืกืืช ืืืืืืช ืื ืืื ืืืขืื ืืฉืื ืื ืืืจืืืช ืืงืืฆืื ืืืื ืืจืืื
ืช ืืืืืฅ , ืืืืืื ืชืืช ืืืืืื, ืืื'(. ืืืื ืืืืืช ืฉืืื ืืืืืDOCX, ืงืืฆื PDFืฉืื ืื ืืืื )ืงืืฆื
![Page 16: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/16.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
16 2021 ืืืืืกื ,132ืืืืื
ืืื )ืื ืื ืืขื ืืืฉืืืื ืืืืืกื ืกืคืฆืืคืืช( ืืฉืืืจื ืืืชื ืืืคืฆืื ืืืืืง ืืื ืฉืืืืช ืืืจืืช.
ืืชืจืื ื ืืกืฃ ืฉื ืืืืืกื ืืืืืืช ื ืืชื ืืจืืืช ืืคืกืงื ืืืื.
ืืื ืืฆืืื ืืืืจื Filelessื ืืกืื ื ืืืงืืชืงืคืืช - ืขืืืฃ ืืืฉืชืืฉ ืืชืืื ืืช ืืืืชืงื ืืช ืขื ืืืืฉื .2
ืืจืืื ืืขืืื )ืื ืืืืฉืืื ืคืจืืืื ืืื ransomware-ืืฉืื ืืจืื ืืขืืืืช ืืชืืฆืืืช ืืฉืืืืฉ ื
ืืืืฉืืื ืืจืืื ืืื(. ืืจืขืืื ืืืฉืชืืฉ ืืืืื ืฉืืืจ ืืืชืงื ืื ืืฆื ืืืฉืชืืฉ ืืืงืื ืืืืจืื ืงืืฆื
ืช ืืืื ืืช ื ืจืื ืืืืืืื ืืจืฆื ืืืืคืขืื ืืืชื ืืื ืืชืืง ืืืืืง ืืื ืฉืืื ืงืืื ื. ืืฉืืืืฉ ืืชืืื ื
ืืืฉืืืื ืืืืจืืช ืงืืฆื ืืจืฆื ืืืฉืื, ืืืชืืื ืืช ืืืืื ืืช ืืืืืืช ืืืืืช ืืขืืืช ืคืื ืงืฆืืื ืืืืช ืื
, ืืื ืืืืกืtarืืขืื ืื ืืืืขืื ืืื ืืืฉืชืืฉ ืืื ื ืืื. ืืืจืืืช ืืขืจืืืช ืืื ืืงืก ื ืืชื ืืืฆืื ืืช
. BZip2-ื GZIPืขืืฆืืชื ืฉืืฉืืฉ ืืืืืกื ืฉื ืงืืฆืื ืืคืืจืืืื ืฉืื ืื ืืืื
ืฉืืืืฉ ืื ืืืื, ืืืืืื, ืืืกืื ืืช ืฉืืจืืช ืืงืื ืฉืืืืืจืืช ืืช ืืืชืืืืงื ืืืืืืืจืืชืืืงื ืฉืืืื ื
GNU(. ืื ืืกืฃ, ืืื RATืฆืจืืืื ืืืืกืืฃ ืืชืืื ื ืฉืื ื ืืืืฆืืข ืชืืืื ืืืื )ืื ืจืื ื ืืืงื ืืืฉืื ืื
ื ืื ืืฆืืจื ืืืื ืืขืืื, ืืืื ืืืืฆืืขืื ืฉืื ืืืืืื ืืืืืช ืืืืื ืืืชืจ ืืืฉืืืื ืืจืื ืืชืืืื ืืืชืืื
ืืชืืื ืืช ืฉืืืชืงื ืืช ืขื ืืืชืื ืฉืื ืชืจืื ืื ืืื ืืืืืช ืชืืืืืืืืืืกื ืฉืชื ืกื ืืืฆืืจ ืืขืฆืืื. ืืืื,
ืืืืฉื ืืืจืืื ื ืืืืืื ืืืืฉื, ืืืฆืืง.
PowerShell ืืืืืื, ืืืชืงื ืขื ืืจืืืช ืืืฉืื ,Windows ืืืื, ืื ืขืงื ืืฉืืืืฉ ืืชืืจ ืืจืืจืช
ืขื ืืืฉืืื ืืืืืื ืืืชื ืืื ืืืคืฉืจืื ืื ืืจืืฅืื ืจืื ืฉื ื ืืืงืืช ืืืื ืืขืืฆืืชื ืืื, ืืขืืชืื
ืื ืืืขืจืืช ืืืคืขืื ืืืืง ืืืืคื ืืืื, ืืฉื ื ืืจืืื ืื ืฉืืืืืืื ืืืฉื ืืืืื ืืกืืกื ืืจืืื ืืื.
ืืืื.-ืืืืงืืจืื ืช ืืคืก
![Page 17: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/17.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
17 2021 ืืืืืกื ,132ืืืืื
ืฉืืืืฉ ืืืฆืคื ื
. ืืืขื ืื ืืืืืช Data Exfiltrationืืฆืคื ื ืืื ืืืืจื ืืื ืืืื ืฉื ืื ืฉืืื ืืืืฆืืข
ืืืชืจ -ืืืืจืืก ืฉื ืชืงืืชื ืื ืืืืื ืกืื ืืื ืื ืืืจ ืฉื ืืฆืคื ื. ืืกืืื ืืื ืืื ืคืฉืืื
ืืฉืื ื ืืืืืกื, ืฉืืืืฉ ืืืฆืคื ื ืื ืงืฉื ืืืืืช ืืืืคืืช ืฉื ืืืืข ืจืืืฉ ืืฉืืื ืืืฆืคื.
ืืืืข ืืืฆืคื ืืืฆื ืืจืื ืืืชืจ ืืืืืืข ืืืงืืจื ืืืื ืืกืคืจ ืกืืืืช: -ืืืืจ ืืืืืื ืืช ืืืจื ืืืืืข. ืืคืืขื
( ืืืื ืืืืืช ืืคืืขื ื ืืืืืข ืืงืืจื ciphertextืกืืืืจืืืช ืืขืืืช ืชืืื ื ืืคืื ืื ืฆืืคื ) ืชืืฆืคื ื .1
(plaintext ืื ืืืืืื ืืืจืืช ,)- ืืคื, ืขืืืื ืืืื ื ืืชื ืืคืขื ื ืืืชื )ืคืฉืื ืื ืื ืืืฉืื ืืฉื ื ืืช ืืฆ
ืืืืื ืฉืืืืืข ืืืืฆืคื ืืืขืืจ ืืื ืฉืื ืื ืืืืืข ืืืงืืจื ืฉืจืฆืื ื(. ืื ืืชื ืืฆืคืื ืื ืงืืืฅ, ืชืจืฆื
, ืืชืืื ืืืืืืืืช ืืื'(.Checksum ,Hash, ืืืฉื ืื ืืืกืืคืื ืืืืข ื ืืกืฃ ืฉืืฉืืฉ ืืืืืืช )ืืืจื
ืืชืืจ ืืืืืช ืืืืข ืืืืืช ืฉืืืฆืขืื ืขืืื "ืืืืง" )ืืืฉื -ืืจืืืช ืืฆืคื ืื ืืกืืืืจืืื ืืฉืชืืฉืื ื .2
, ืืืืืื, ืขืืฉื ืืฆืคื ื ืืคืขื ืื AES-128ืืช ืืืืื ืืืชืืื ืฉื ืืืฆืคื ื/ืคืขื ืื( ืฉืืืื ืืืืช ืืืื.
ืืชืื(. ืืชืืฆืื ืืื, ืื ืืืื 32ืืื AES-128ืืชืื ืืืื ืืืช )ืืืืืจ, "ืืืืง" ืืืื ืฉื 32ืขื
)ืขื ืืื ืืช ืืืืืข( padding) "ืืจืคื" ืฆืืจืืืงืืืฅ ืืื ืืื ื ืืืคืื ืืฉืืจื ืฉื ืืืื ืืืืืง, ืืืื
. ืขื ืืืช, ืืฉื ื ืืจืืื ืขื ืื ืช ืฉืืืื ืืกืคืืง ืืฉืืื ืืืืง ืืืจืื ืฉืืืืืกืคืช ืืืืข ืืกืืฃ ืืงืืืฅ(
( ืืื ืื ืืืื Stealing Ciphertextืืขืฉืืช ืืช ืืืชืืืืงื ืขื ืืืืืง ืืืืจืื ืืืื ืืจืคื ืืืชื )ืืื
ืขื ืืฉืืื ืกืืืืืืืช ืืืื ืจืืฆื ืฉื ืืืืืจืืชื ืืืฆืคื ื.
ืฉืืชืื ืื ืืืืข ืจืืืื ืื ืืฉืืืช headerืืฉ ืืจืื ืฉืืืืช ืฉืื ืืช ืืืฆืคืื ืงืืืฅ. ืืจืื, ืื ืืขืื ืืืืกืืฃ .3
ืขื ืื ืช ืฉืืชืืืื ืืคืขื ืื ืื ืืืื ืืืฆืคื ื, ืกืื ืืืืืืจืืชื, ืื ืื ืื ืื ืฉืื ืื ืฉืืื ืืฉืืืืฉ ืืื'
ืื ืื ื -. ืขืืืจื ื, ืืกืขืืฃ ืืื ืื ืืืื ืจืืืื ืื ืจืื ืฉืืืืจืื ืืืืืช ืืฉืืืืฉืฉืืืืืช ืื ืืืข ืืคืจืื
ืฉืืืืื ืืืฆืคื ื. ืื ืื ื ืฉืืืืื ืืคืขื ืื. ืื ืื ื ืฉืืืืื ืืคืจืืืจืื ืืืืคืชื/ืืช ืฉืืฉืืืืฉ.
ืฆืืคื ืืจื ืกืื ืืจืื ื - RC4ืฆืืคื ืืฆืคื ื ืฉืงื ืืืืฉื )ืืื ื ืืฆืืช ืืฉืืืืฉ ืจืื ืืืื ืืงืจื ื ืืืงืืช( ืืื
ืืื ืืขืืจ ืืฉืืืืฉ ื ืจืื ืืื ืืชืจ ืืงื ืืืืฉืื ืืืืืขื. ืขืงื ืคืฉืืืชื ืืืืืขื ืืชืืื ื, ืคืฉืื ืื
ืืฉืืื ืขื ืืืงืกื ืืืช ืืืจ ืืืช, ืืืืื ืืืฆืคื ื, ืืคืชื ืืืฆืคื ื . WEP-ื SSLืืคืจืืืืงืืืื ืืื
.)ืืชืืืืงื ืฉืืืื ืงื ืืืืฉื, ืืืื ื ืืืจืฉืช ืืฉืืืื ืจืืื( ืฆืืคื ืืจื ืืืืืื ื XORืืืคืจืืืจ ืืืืฆืขืืช
ืืืจืื ืืืื, ืื ื ืขืงื ืืืืฉืืช ืฉืืชืืื ืื ืืื ืืื ื ืืืื ืืืื ื ืืืืืฅ ืืฉืืืืฉ ืงืจืืคืืืืจืคื ืืืื.ืืืื,
ืื ืืืคืฉืื ืืฆืคื ื ืฉืืืืื ืืฉืืืืฉ ืงืจืืคืืืืจืคื ืืื ืจืง ืฉืืื ืืขืจืื ืืช ืืืืืข ืืืืขืืจ ืื ืฉืืืื
ืช ืืื ื ืืืืืช ืืืชื ืืชืืจ ืืืืข ืจืืืฉ ืืืื ืืฆืืคื ืืื ืืืื ืืืฉืื ืขืืืจื ื. ืงืฉื ืืืขืจืื
![Page 18: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/18.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
18 2021 ืืืืืกื ,132ืืืืื
ืงืืืื ืืืืข
ืงืืืื ืืืืข ืืื ืืืืง ืืื ืงืจืืื ืืืื ืืฉืืืฉื ืฉื ืืื ืขืืืื. ืืืืกื ืืื ืืืื ืืืคืฆืืื ืื
ืืืืืืื, ืืื ืืฆืคื ื )ืืืจืืช ืฉืืืืืฆืื ืืืื(. ืฉืืืืฉ ื ืืื ืืงืืืื ืืืืข ืืืื ืืขืืืจ ืื ื
ื ืืืืืข ืืืืขืืจ ืืชืืื ืืื ืืกืืืข ืืืกืชืจืชื )ืื ืื ืื ืืืืื ืชืืืืฃ ืืืงืืื ืืช ืืื
ืฉืื ืืืืข ืืื ืืกืืฃ ืจืฆืฃ ืฉื ืืืืื ืืืคืกืื ืืื ืืื ืืืฆืคื ื(. ืืขืืงืจืื ืืืกืืก ืืงืืืื ืืืืข ืืื
-. ืื ื, ืืชืืจ ืื ืฉืื, ืื ืงื ืืืืื ืืช ืืขืงืจืื ืืื, ืื ืืืืืจื ืฉืื ื ืืืืืืกื ืืืืืจืื ืื ืืขืืืจ ืืชืืื
ืข" ืื ืืืชืืืช ืืกืคืจืืช ืืฆืืืืืืช. ืื ืื ืกื ืืคืฉืืืช, ืงืืืื ืืืืข ืืื ืืฉืืง ืฉืื "ืืืืืช ืืกืืก ืฉื ืืื
ืื ืื ื ืืืคืื ืจืฆืคืื ืฉื ืืืืื ืืืคืกืื ืืกื ืขืจืืื ืืกืืื, ืืืื ืฆื ืืืฉืืง ืืื ืื ืฉืืฆืืื ืืืื ืืช
ืืืชื ืกื ืขืจืืื ืืืืคื ืืืคืืืืื.
ืงืืืื ืืืืข, ืืื ืคืืกืช ืืฉืืืช - ืขืจืืืืช )ืืื ืืื ืืื(-ืื-ืืืืงืืืื ืืืืข ืชืงืื ืืฉ ืืจืืฉื ืืืจืืืช:
. ืื ืืืชืื ืฉืฉื ื ื ืชืื ืื ืืืืืื ืืืฆืืจ ืืช ืืืชื ืจืง ืคืืกืช ืืืืข ืืงืืจืืช ืืืชืืืืข ืืงืืื ืืืืืช ืืืืืช
ืืืืข ืืงืืื, ืื ืืืจืช ืื ื ืืื ืืืขืช ืืืืื ืืืืข ืืงืืจื ืื ืื ื ืืชืืืื ืื ืืชืืืื ืืคืขื ืื. ืืืืืื:
. ืืืืขื C-ื A ,Bืฉืื ืืืืช ืืืืืชืืืช ืืืืืื ืืืขืื ื ืืชื ืืจืืืช ืืคืชื ืขืจืืื ืขื ืื ืช ืืงืืื ืืืืขืืช
" ืืืื ืืืืืช 3131ืืจืฆืฃ ืืืงืืื " -". ืืืขืื ืขืืื ืืคืขื ืื 3131" ืชืงืืื ืืคื ืืืคืชื ืืชืืจ "ABABืืื "
ืืืืืื, ืฉืื ืื ืืืกืจ ืืืงืืจื ABC" ืืืื ืืืืืช 3131ืืชืืจืื ืืืกืคืจ ืืคืฉืจืืืืช, ืฉืืืื ืกืืืจืืช )"
ืฉืื ื ืืชื "ืืคืจืฉื" ืืืืขื ืืงืืืืช ืืืืชืจ ืืชืจืืื ืชืืืื ืฉืืชืืืื ื ืืืื(. ืื ืฉืืืช ืงืืืื ืืืืข ืชืงืื ื
. ืืื ืืืืื
ืฉื ืืฆืืืช ืืฉืืืืฉ )ืฉืืืืืข ืฉืื ืชืืจืื ืืช ืืืืช ืืืืชืืืชืฉืืื ืืืคืืืืืืช ืืงืืืื ืืืืข ืืื ืืืช
)ืื ืฉืื ืชืืจืืฉ ืืจืื ืืฉืืืืืืืงืืื ืืืื ืงืฆืจ ืืืชืจ, ืฉืืื ืืืืจืื ืื ืืืื ืืืงืฆืช ืืืืืืข ืืืงืืจื(,
DLP. ืืกืืื ืืงืจืืืจืืื ืืืืจืื ืืื ืื ืืขืจืืืช ืืฉืชืืื ืืืืืืืชื ืจืืฆื(, ืืืืื ืช ืืืืจืื ืืื ืืืืื ืช ืื
ืืื'. Hex ,Base64 ,Base85ืืืืขืืช ืืืืืช ืืืคืขื ื ืกืืื ืงืืืื ืืืืจืื ืืื
ืขืืืจ ืื ืืืืข ืฉืืืืข ืื ื ืฉื ืจืฆื ืืืืฆืื ืืืืฉื ืืจืืื ื, ื ืฉืื ืืช ืขืฆืื ื ืืื ืืืจื ืืื ืืืื ืืงืืื
ืืืฉื )ืืื ืฉืืืืฉ ืืืืืกื(. ื ืืื ืฉืืชืืืจื ื ืืืื ืืืืฉืืื ืืืชื ืื ืฉืืืงื ืืื ืฉืคืืืช ืืงืื ืขื ื
ืฉืืงืืืืงื ืืข"ื ืืื ืื ื ืจืืฆืื ืืืืฆืื ืืืืข ืขื ืืจืืืกื ืืฉืจืื ืฉื ืืฉืชืืฉืื. -ืืื ืง ืืืืืื ื ืืื
![Page 19: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/19.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
19 2021 ืืืืืกื ,132ืืืืื
ื ืจืฆื ืืฉืืื ืืช ืขืฆืื ื ืืื ืืืืช ืืืืืข ืืืืืืืื ืืงืื ื ืืืืชืจ ืฉืืืืื ืืืืื ืืช ืคืจืื ืืจืืืก ืืฉืจืื
ืืืื?
ืืกืคืจ ืืจืืืก ืืฉืจืื. ื ืจืื ืืื ืฉืืืืช ืงืืืื ื ืคืืฆืืช -ืืืฆืื ืืช ืืืชื ืืืืข ื ืกืชืื ืขื ืฉืืืืช ืฉืื ืืช
. ืืฆืืจืชื ืื ืืืืืช, ืื ืื ื ืืกืืืื ืขื ืืกืคืจ ืืจืืืก ืืืจืืืืขื ื ืจืืืช ืืืืืขืฉืื ืืช ืืืืืืช ืืืฉืคืืข ืขื
. ืืืฆืื ืื ืืืื, ืื ืกืคืจื ืืืงืืช ืืืช ืฉืื:ASCIIืืืชืืืช 32ืืืฉืจืื ืืชืืจ
ืืชืืื ืืงืืื ืืืืข ืืืจื ืืืืข ืงืืืื
ืืชืื 32ืืืชืืืช = ASCII 32 ืืงืกื
Decimal Coded naryBi (BCD)
ืคืฉืืืืืคืก ืื 1 - ืืงืกื)ืชืฆืืืช
ืฉืืืื ืื ืืืช ืืื ืืื ืืืช( ืืืชืืืช
ืืชืื 21ืืืชืืืช = 21
Decimal Coded Binary (BCD)
ืกืืืืืช ืื' 1'-ื 1 -ืืื ืืจืืช ืชืฆืืื)
(ืืืชืืืช ืกืชื ืื, ืืืืืจืื
ืืชืื 9 ).( ืื ื ืืชื ืืช ืืชืฆืืื ืืืืชืืืช ืื ืืืง
Base64 (ื ืงืื ืืืฉืจืื ืืจืืืก ืืกืคืจ
(ASCIIืืืงืกื ืืชืื 21ืืืชืืืช = 21
Base32 ืืกืคืจ ืืจืืืก ืืืฉืจืื ื ืงืื(
(ASCIIืืืงืกื ืืชืื 12ืืืชืืืช = 12
ืืขืจื ืืืจื - (Hex) 16 ืืกืืก
)ืืกืคืจ ืืจืืืก ืืืฉืจืื ื ืงืื ืืฆืืืื
ืืืกืคืจ ืฉืื(
ืืชืื Hex =1ืืืชืืืช 31
(Hexdump ืชืฆืืืช)
ืืชืื 33ืืืชืืืช = 33 ืืฆืืืื ืืขืจื ืืืจื - 36 ืืกืืก
![Page 20: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/20.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
21 2021 ืืืืืกื ,132ืืืืื
, ืื ืื ื ืขืืฉืื ASCIIื ืืชื ืืจืืืช ืื ืืืฉืจ ืื ืื ื ืืชืืืืกืื ืืืกืคืจ ืืชืืจ ืืืชืืืช - ืืืจื ืืืืืข ืืืงืืื
, Base64 ,Base62ืกืื ืฉื ืืืืข ืืืืืืื( ืืื ืื ืขืื. ืฉืืืืฉ ืืงืืืืืื ืฉื ืืขืื ืืืืืข ืืื ืืจื )ืืืืืจ, ืื
Base85 ืืื' ืจืง ืืืจืืืื ืืช ืืืืช ืืืืืข ืฉืืฉ ืืืขืืืจ ืืชืืื, ืืืฉืจ ืืฉืื ืืื ืฉืBase32 ืขื ืืืืื
ืืขืืืช ืืืืืข ืืืงืืจื. x1.6ืฉื ืคื
, BCDืืฉืืืืช ืืืืืืืช ืฉืืฆืืืื ืืืงืืื ืืช ืืืืช ืืืืืข ืืืืขืืจ ืื ืืื ืฉืืืื ืฉืืืืืจ ืืงืื ืืกืคืจื )
(. ืฉืืืืช ืงืืืื ืฉืืืืขืืช ืืขืืื ืืืื ืขื ืืกืคืจืื, ืืฆืืืืืช ืืฆืืฆื ืืืขื ืืืฆื ืืช 12, ืืกืืก 32ืืกืืก
ืื ืืกืชืื 32ืืื ืฉืืื ืืืืื ืื ืื ืื ื ืฉืืืจืื ืจืง ืืกืคืจืื(. ืืงืืืื ืืืกืืก ASCIIืืืืช ืืืืืข )ืื
ืืืืืืช, ืืื ืืืงืฉืจ ืฉื ืืกืคืจ ืืฆืืืื ืขืฆืื ืืืืจืื, ASCIIืขื ืืกืคืจ ืืจืืืก ืืืฉืจืื ืืชืืจ ืืืชืืืช
ืกืคืจืืช ืืืื ืืืืืช ืืืืฆืืืช ืืืืช ืืื )ืืืืื ืืฆืืฆืื 2. ืืชืืฆืื ืืื, ืืืืืฆืข, 32ืืืืืจ ืื ืืืกืืก
ืืืฆื ืืืืจื(.
ืืืฉืคืืชื( ืืืฆืืืื ืืืืข ืืืคืื ืืืจื )ืืืชืืืช ืืืกืคืจืื( Base64ืงืืืืื ืืืืืข ืืืื ืืจื ) - ื ืจืืืช ืืืืข
ืฉืืืืืจ ืืืกืคืจ ืฉืื ืืืฆืืื ืขื ืืืืช ืืืฉืื ืฉื "=" ืืกืืฃ )ืืฆืืจื "ืจืืคืื"(. ืืขืืืชื, ืืฉืืืืช ืฉืืืื
ืืืื ืืื ืืจื, ืฉืื ื ืืชื ืืืขืืืจ ืืืชื ืืืืฆืขืื ืืงืกืืืืืืื. ืืืฆื ืืืคืื ืืืจื ืืืื ืืืืืช ืืืื ืืืขืื
ืืฉืืืืช ืืืืืืช ืืืืข. ืืื, ืืืืืื, ืืืื ืืฆืื ืขื ืืืืคืื ืืืืฉื ืฉืื ืืช ืืืกื ืฉื ืืืฉื ืืจืืื ื
ืื ืืืืืืื ืืคื ืืชืืื ื. ืืืืื ืืฉืืืจ ืืช Base64-ืฉืืฆืื ืงืืืฅ ืืื ืืจื ืจืืืฉ ืฉืืงืืื ื
ืืื ืื, ืื ืชืืื ื ืืืจ ืืช ืืืืืข ืฉืื ืื ื ืจืืฆืื ืืืืฆืื ืืืืืฉื ืืืจืืื ื, ืื ืื ืืคืืจืื ืฉืื ืืื
ืฉืืืจ. ืืขืืชืื ืจืืืงืืช ืืงืื ืฉื ืงืื ืืืื ืจืง ืืกืคืจ ืืฆืืืื ืืืืจ )ืืืจืื ืืื ืืืื ืืขืืจื ืขื ืืืชืืืช(.
ืช ืืงืืืื ืืืื ืืฉ ืืืฉืงืืข ืืื ืืืืืื ืืืขืื ืืฆืืื ืืืื ืืช ืืืชืจืื ืืช ืืืืืจื ื ืืื ื ืฉื ืฉืื
ืืืฉืื ืจืื, ืื ืืจืื ืื ืชืืื ืื ื ืืจืื ืฉืืืื ืขื ืืืืืข ืืืงืืื, ืื ืืคืฉ ืงืืืื ืฉืืืื ืื ืขื
ืืืืืข ืืื ืขื ืืขืจืืฅ ืืกืืื ืฉืื ื.
![Page 21: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/21.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
21 2021 ืืืืืกื ,132ืืืืื
ืืืืืืืช ืื ืืืงืืช ืืขืืจ
ืืืืจืืกืื ืืืZeus ,SpyEye ,ICE IX ื-Citadel ืฉืชืืื ื ื ืืืชืงืคืืช ืขื ืจืงืข ืืืืื ืืืคืฉืื ืืขืืงืจ ืืืืข
ืืขื ืืฉืคืขื ืืืืืืช ืืื ืืืืข ืคืจืื ืขื ืืฉืชืืฉืื ืืคืจืื ืืจืืืก ืืฉืจืื. ืืืื ืืชืืืืกืื ืื
ืื ืื ืืื ืืืื ืืจืืืฉ ืืืชื, ืืฉืคืฆืจ ืืืชื )ืืืฆืืจ ืืจืืื ืืื( toolkitsืืฉืคืืืช ืืืืืจืืกืื ืืืื ืืื
ืืืืฉืชืืฉ ืืื ืืืืจืืชืื ืืืืื ืืืช.
Flame ืืืืจ ื ืื ืืืื ืืช ืืืืจื ืืชืืืื ืก-ืืืืชื ืืืง ืืจืืื ืืงืืคืืื ืชืงืืคื ืืจืืืืืืื ื ืืืงื ืฉ
ืฉื ืืืื ื ืชืื ืื ืืืขืจืืืช ืืืฉืืื ืจืืืช ืื ืืจืื ืฉืืืืฉืื ืืืืฆืื ืื ืคื ืฉื -)ืืขืืงืจ ืืืจืื
ืืืฆืืข ืื ืืืงื ืืชืืงืืช ืืืืกืืฃ ืืืืข ืืืจืืื ืืืืื ืืช, ืืืื: ืืขืงื ืขื ืชืขืืืจืช ืืจืฉืช,(. ืืืืื ื
ืืืจืื ืคืขืืืืช ืืงืืืชืฆืืืืื ืืกื, ืืงืืืช ืืืืื ืืื ืืืืขืช ืืืฉืชืืฉ, ืืืฉื ืืืชืงื ื ืืืืืืช' ื
(keylogging).ืืขืชืงืช ืฉืืืืช ืืชืืื ืืช ืืกืจืื ืืืืืืื, ืืขืื , Flame ืืืคืฉื ืืืืคื ืกืคืฆืืคื ืขืืืจ
ืืขืื ืชืืื ืจืืืฉ. PDFืื ืงืืฆื AutoCADืืืืข ืงื ืืื ื ืืื ืขืืฆืืื
ื ืืืงืืช ืืืStuxnet ื-Duqu ืฉืืืืื ืงืื ืืืื ื(-Stuxnet ืชืืื ื ื ืืืืฆืื ืืืืข ืืืขืจืืืช ืฉืืืื )
( ืืื ืืื ืฉืฉืืืฉื ืืช ืืฆื ืืจืืคืืืืช ืืืืจ ICS( ืฉื ืฉืืจืืชื ืฉืืืื ืชืขืฉืืืชืืื )SCADA) ืื ืืืืจ
ืืืืจืื ื.
ืืืืข ืืืขืืจืช ืืฆืคื ื ืฉืืืช ืฉื ืืช ืคืขืืืืช ื ืืืงื ืฉื
Zeus 2111 . ืงืืืืื ืื ืืจืกืืืช ืฉืืฉืชืืฉืืช HTTP-ืืื ืืืฆืคืื ืืืืข ืฉืขืืืจ ื RC4 ืืืืืจืืชื
ืืฉืืื ืืืืช ืืืืข. MD5-ื ืฉืืืืฉ(. 2131-)ืืื ื P2Pืืคืจืืืืงืืื
Taidoor 2008 -. ืืจืืื ืืื ืขืืื ืืื ืืฉืชืืฉืื ืื ืHTTPืฉืืฆืคืื ืืืืข ืฉืขืืืจ ืืจื RC4 ืื ืื ืื
AES.
Citadel 2133-2135 ืฉื ืฉืืืืXOR ื-AES ืืืฆืคืื ืืืืข ืฉืขืืืจ ืืจืHTTP
Hidden Bee 2131-2139 ื ืื ืฉืืืืฉ-RC4 ืืฉืืืื ืขืRSA ืื ืืืงืืขื ืื ืช ืืืงืฉืืช ืขื ืืืงืจืื ืื ืชื ืืช.
LuckyCat 2131-2132 ืืงืืืฅ ืฉืืืืฉ CAB ืืืืก ืฉืขืืืจ ืืจืTTPH
Duqu 2133-2138 ืืืกืชืจืช ืืชืื ืงืืฆื ืชืงืฉืืจืชJPEG ืืGIF ืขืืจื ืืจื ,HTTP ,HTTPS ,SMB ,TCP.
Stuxnet 2131-2138 ื ืืฉืชืืฉ-XOR ืืื ืขื ืคืจืืืืงืืHTTP.
Flame
(SkyWiper) 2133-2132
, HTTPSืืืฆืคื ื ืืืืกืกืช ืืคืชื ืฆืืืืจื ืืคืจืื, ืืขืืืจื ืืช ืืืืืข ืืจื ืืฉืชืืฉ
.ืืืืืื ืืืืคืืชืืืื ืืฆืคื ืืขื ืืคืชื ืงืืืข ืืื XOR-ื ืื ืืฉืชืืฉืช
Andromeda 2133
. RC4ืืืืฆืขืืช ืฆืืคื ืืฆืคื ืืืืืืกื. Ibsenืฉื ืืืจืช Aplib ืืกืคืจืืืช ืืฉืชืืฉ
ืขื ืื ืช ืืืืื ืฉืืืืืข ืขืืจ ืืชืืื CRC32ืืกืื ืืืืืืืื ืืืืขื ืืฆืืจืฃ
ืืืฆืืื.
![Page 22: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/22.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
22 2021 ืืืืืกื ,132ืืืืื
Data Exfiltrationืขืฉืจืช ืืืืืจืืช ืฉื
ืืืืจ 2132ืืืฉืจืืืืช, ืืืฆืืื ืืฉื ืช SafeBreachืขืืืช ืงืืืื ืืืืฆืืง ืงืืืืจ, ืฉื ื ืืืงืจืื ืืืืจืช
ืฉืฆืจืืืื ืืืชืงืืื ืืฉืืื ืืื ืื ืชืืืจื ืืช ืขืฉืจืช ืืืืคืืื ืื "Exfiltration Perfect Theืฉื ืงืจื "
ืืืืฉืืืช ืืืืืืช ืืืืข.
ืืืืืืช โ : ืขืืืืืช 1#ืืืืจ
(. ืืขืงืจืื ืืื Kerckhoffsโs Principle) ืงึฐืจึตืงึฐืืึนืคึฐืกืืฉืืื ืืืืฉืืืช ืืืืืืช ืืืืข ืืืืืช ืืขืืื ืืขืงืจืื
ื ืืืื ืขื ืืืื ืืกืคืจ ื ืืกืืืื ืฉืืืื ืืืืจืื ืืขืจื ืืช ืืืชื ืืืืจ )ืชืืืจื ืื ืฉืื ืืื(:
: "ืืขืจืืช )ืืฆืคื ื( ืืืืืช ืืืืืช ืืืืื ืื ืื ืื (1883)ืฉื ืืืืืกืื ืงืจืงืืืคืก, ืื ืืกืื ืืืงืืจื .1
ืืืืงืื ืืืขืจืืช ืืืืขืื, ืคืจื ืืืคืชื ืืกืืื".
: "ืชืื ื ืืช ืืืขืจืืช ืฉืื ืืชืื ืื ืื ืฉืืืืื (1949ืืงืืจื )ืฉื ืงืืื ืฉืื ืื, -ืื ืืกืื ืืืขืืื .2
ืชืืื ืชืืื ืืืืจืืช ืืืื ืืืชื"
: "ืืืืื ืืืืจ ื ืืืืื ืืืื ืืืืืื ืืืืจื ืืฉื ืื(ืืงืืฆืจ )ืฉื ืงืืื ืฉืื ืื, ืื-ืื ืืกืื ืืืขืืื .3
ืืช ืืืขืจืืช".
ืืืืฉืื ืืกืืืืืช ืชืืืื ืืืืืชืืืืจื ืื ืืขืจืืช ืืืืืช: "2118ืืฉื ืช NISTืื ืืกืื ืืชืื ืื ืืืืช .4
".ืืจืืืืืืกืืืืืช ื ืื
: "ืื ื ืืจืื )ืฉื ืืืื(, ืืฉืืืจ ืื"ื ืกืืืืจ( ืืชืืืื ืืชืืืื 5-ืื ืืกืื ืฉื ืืืชื ืืืืืจ )ืืืจื ื .5
ืืืืชืคืื ืฉืืชืืงืฃ ืื ืืืื ืืืฉื ืืงืื 2ืืฉ ืืช ืืกืืกืื ืฉืื ืขื ืงืื ืงืืกืจ ืืืืื ืฉื ืืฆื ืืืฉืช
".ืื ื ืืฉื ืืืฆืคื ื
ืืื, ืขืืื ื ืืฆืืช ืืืื ืื ืื ืฉืืืจืืื ืืืืจ ืืช ืฉืืืช ืืขืืจืช ืื ืชืื ืื )ืืช ืืขืจืืฅ ืืกืืื ืฉืืฉืชืืฉื ื ืื
ืชืงืฉืืจืช ืืื ืืืขืืืจ ืืช ืื ืชืื ืื( ืืฉืืื ืืืื ืืขืฆืืจ ืืืชื ื ืืจืืข ืฉืืืื ืื ืืืืืช ืฉืื ืืืืืจ ื
ืืืืืืืืช. ืืจืฆืืื ื ืืื ืฉืื ืืืงืจื ืื ืฉืืืช ืืืขืืจื ืฉืื ื ืืืืจืช ืืชืืื ืืช ืืืื ื ืืืชืืื ืืช ืืืกืืื,
ืืฉืืื ื ืฉืืจืช ืืคืงืืืืืช ืื ืื ื ืืชื ืืืืืื ืืื ื ืืืื ืชืงืฉืืจืช ืืืืืืืืช.
ืื ืืืจืืชืื Web: ืืฉ ืืืฉืชืืฉ ืจืง ืืชืงืฉืืจืช #2ืืืืจ
( ืืืื ืืืขืช ืืขืืื ืขื ืืคืจืืืืงืืืื TCP/IPืื ืืืฉื ืฉืืืืืจ ืืจืฉืช ืืืฉืื )ืฉืืชืืกืกืช ืขื ืชืงืฉืืจืช
ืืืืืืช DNSืืื'. ืืคื ืฉืชืืืจืชื ืืืงืืื, ืืขืจืืืช ืืกืืกืืืช ืืื HTTP ,DNS ,TLS/SSL -ืืืกืืกืืื ืืืืชืจ
DNSืืขืืื ืขื ืื ืช ืฉืชืืื ืชืงืฉืืจืช ืืืฉืืื ืืกืืกืืช )ืื ืื ืขื ืจืฉืชืืช ืกืืืจืืช, ืคืฉืื ืขื ืฉืจืชื
ืคื ืืืืื ืืฉืืื(.
ืจืืืืงืืืื ืฉืืืืฉื ืชืืื ืืื )ืคืจืืืืงืืืื ืืกืืกืืื, ืืฉืืื ืืืืฉืืืช ืืืืืช ืืืฉืชืืฉ ืจืง ืืค
, FTP ,BitTorrent ,SCP ,SSHืฉืืฉืชืืฉ ืืืคืืกื ืืขืืื ืืืชื(, ืื ื ืืืืืชื ืฉื ืคืจืืืืงืืืื ืืืจืื ืืจืฉืช )
Telnet ืืจืื ืจืฉืชืืช ืืจืืื ืืืช ืืืกืืืช ืืชืืจ ืืจืืจืช ืืืื -ืืื'( ืขืืื ืืขืืจืจ ืืฉื ืจื. ืืจืฆืืื ื
![Page 23: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/23.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
23 2021 ืืืืืกื ,132ืืืืื
ืืื. ืฉืืืืฉ ืืคืจืืืืงืืืื ื ืคืืฆืื ืืขืื ืืฉืืขืืชืืช ืืช ืืกืืืื ืคืจืืืืงืืืื ืืคืืจืืื ืฉืืื ืืื ืฉืืืืฉ
ืฉืืืืข ืืืื ืืขืืืจ ืืื ืืืืืกื ืขื ืืื ืืืืช ืืฉ.
: ืื ืืฉ ืกืคืง, ืืื ืกืคืง!3#ืืืืจ
ืืฉืืื ืืืืฉืืืช ืืืืืืช ืืืืข ืฆืจืืื ืืืืื ืข ืืื ืคืขืืืืช ืื ืืขืจืืช ืืขืืจืช ื ืชืื ืื ืฉืขืืืื ืืืชืจืืข
ื: ืื ืืฉ ืกืืืื, ืืคืืื ืืขืืจ, ืฉืืฉืืื ืฉืืื ืชืจืชืืข ืืขืจืืืช ืืื ื, ืื ืื ืจืง ืชืืืืจืืืช )ืืฆืืจื ืคืฉืื
ืื ืชืฉืชืืฉื ืื(. ืื ืืฉืืชื ืืืฉืชืืฉ ืืฉืืืืช ืืืื, ืืขืืื ืืืืื -ืืขืจืืช ืืื ื ืืจืฉืช ืืืจืืื
"ืืขืจืืืช ืืืื ื ืื ืืฆืืืื ืืืืืื ืืื -ืืืงืก, ืฉืืืืฉ ืืืงืกืืื ืืืฆืคื ืื ืื ืื ืืืจ ืฉืืื, ืืืืฉืื ืฉ
ืฉืืื ืืืืฉืืืช ืืืกืชืื ืขื ื ืจืืืช ืืืืืข ืฉืขืืืจ ืื ืืืื ืืฉืชืืฉ ืืืืืืื", ืชืืฉืื ืฉืื. ืืกืืจ ื
ืืชืืื, ืฉืื ืื ืื ื ืจืืฆืื ืืช ืืืืืืช ืืืขืืืจ ืื ืกืื ืืืืข, ืื ืืฉื ื ืื ืืืจืืืช ืฉืื.
: ืืขืจืืืช ืืืื ื ืชืืื ืืืฉืืืืช4#ืืืืจ
ืืฉ ืชืืื ืืื ืื ืฉื ืืืืจ ืืจืฉืช ืืื ืืืฉืื. ืื ืืืืื ืขืืืจืช ืืืืงื ืืขืืืงื, ืืคืจืืืืงืืืื ืฉื ืืฆืืื
. ืื ืืจืืื ืืื ืืจืื ืชืชืืื. ืืืขืจืืช ืืื'( ,Inspection Packet DeepInspection HTTPSืืื ืฉืืืืชืื )
ื ืืฆืืช ืืจืืข ืืชืื ืืืจืืื. ืืืจืืื ืืฉืชืืฉ ืืื ืืื ืฉืืฉ ืื ืืืฉื ืืืื ืืื ืืืื -ืืื ืืืื ืฉืงืืืืช
ืืืืืืช Big Data-ืืืฃ ืฉืืืืฉ ืืืืื ืืขืืื ื Whois, ืืืคืืฉ IP Reputationืกืืืืกืืืื ืื ืืชืื ืชืขืืืจื,
ืืืื ื.
ืืืืจ -ืช ืืืขืจืืช, ืื ืืืืืฅ ืืงืืช ืืช ืืืืฉื ืืคืจื ืืืืืืช ืืจืฆืืื ื ืคื ืืื ืฉืืชืืจ ืืื ืฉืืื ืืกืื ื
ืืื ืืจืืข ืืงืจื ืืื ืื ืฉืขืืื ืืืฉืชืืฉ, ืืฉืชืืฉ. ื ืจืฆื ืืื ืื ืฉืื ืืืืื ื ืืงืจืช ืื ืืืงืช ืืืื ืืืช,
ืื ืืื ืืืืืืืืืืืช ืืื ืืืงืฉืจ ืฉื ืืจืฉืช, ืฉื ืืืคืืืงืฆืื ืืฉื ืืืฉืชืืฉ. ืืกืืจ ืื ื ืืื ืื ืืืจืื ืืื
. ืืืืืืื ืฉืื ื ืืืื ืืืจืืื ืื ืืืืื ืฉื ืฉืืืช "ืขื ืคืื ืฆืื", "ื ื, ืืื ืกืืืื ืฉืืื ืชืืืืง ืืช ืื"
ืืฉืืื ืืื ืืขืจืืื ืฉืื ืื ืฉืื ืืืื ืกืืืื ืฉืืื ืชืคืขืื ืืขืจืืืช ืืื ื.
ืื ืื ืืกืคืืง! TLS/SSL: 5#ืืืืจ
ืฉื ืืฆื ืืื ืฉืชื ืืืืืืช ืงืฆื )ืืื Proxyืฉืจืช - Termination SSLืชืืื ืืฉ ืืื ืื ืื ืืฆื ืืืจืืื ืืชืืฆืข
ืฉืจืช ืืืงืื( ืฉืชืคืงืืื ืืื ืืคืขื ื ืืช ืืืืืข ืืืืฆืคื ืฉืื ืืืืงืื ืืจืง ืื ืืืขืืืจื ืืฉืจืช ืขื ืื ืช
![Page 24: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/24.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
24 2021 ืืืืืกื ,132ืืืืื
ืฉืืฉืจืช ืื ืืฆืืจื ืืขืฉืืช ืืืช ืืขืฆืื )ืืื ืืชืืืืจืื, ืืขืืืจ ืื ืืืืกืื ืื ืืฉืืืื(. ืืืืืจ ืืชืืืืก ืืื
-ืฉืืฉืชืืฉืืช ื IDS. ืืฉื ื ืืขืจืืืช SSL/TLSืืืืข ืฉืืื ืืืฆืคื ืืืืฆืขืืช ืฉืืืชืื ืฉืืืจืืื ืืฉ ืืืฉื ืื ื
SSL Termination ืืฉืืื ืื ืืจ ืชืงืฉืืจืช ืืืฆืคื ืช ืืชืื ืืจืฉืช. ืืืืื ืชื ื, ืืฆืคื ื ืืืืฆืขืืชSSL ืืTLS
( ืืืื ืืื ื ืืื ื ืขื ืืืืืข ืฉืืืขืืจ.HTTPS-)ืืื ืฉืืืืฉ ื
: ืืฆื ืืืงืื ืืื ืืืืืืื6#ืืืืจ
ืืืฉื ืฉื ืืชืืงืฃ )ืืฆื ืืืงืื, ืฉืืืื ืืืืข ืืืืืข( ืื ืืืื ืืืืื ืืฉืื ืืขืืื ืืืืืืื, ื ืฉืืฃ ืืื ืฉื
ืืขืจืืช ืื ืกื ืฉื ืืืงืื ืฉืขืืืืื ืืื ืืข ืืื ื ืืืงืื ืืช ืืืืืข ืืืืจืืื. ื ืืื, ืืืืฉื ืฉืืืื ืืืืข
ืืืืืข ืื ืืืืจ ืืืืืช ืืืืช ืกืคืจ ืื ืืืื ืืืจืกืืื ืฉืืืืืื ืืืงื ืจืฉืช ื ืืงืฉืื. ืืืืฉื ืฉื ืืชืืงืฃ ืืืื
ื, ืืื ืืงืื ืื ืืืืข ืืืืืืื ืฉืืืขืืจ ืืืื ืืื ืืขืืืจ ืืืชื ืืจื ืฉืื ืืืืช ืืฉ ืืงืื ืืืืข ืืื ืคืืจ
ืืืืจืืก ืืืขืื. ืืืืืช ืืงืฆื ืฉื ืืชืืงืฃ ืชืืื ืชืืื ื ืจืืืกืืืช ืืขืืืื, ืฉืื ืชืงืจืืก -ื ืืกืคืช ืื ืชืืื ืช ืื ืื
ืืฉืื ืืงืจื, ืชืชืขื ืื ืืืืื ื ืื ืกืช ืืืฉืื ืืจื ืื ืชืืืื ืืืฉืื ืืฉืืืช ืืืืืช ืืืืืข.
ืื ืืืคืืข ืืจืฉืืืืช ืฉื ืืืืื ืื -ืฃ ืืืืืช ืืื ืฉืืืชืจ ืืืืืืื ืืขืื ื ืืืื ืืจื ื ืืฆื ืืืงืื ืฆืจืื ืืฉืื
ืืืื ืืฉืืื Alexaืืื. ืื ืืืืืจ ืืืืืืื, ืื ืฉืืื ืืืื ืขื ืืืจืื IP Reputationืกืคืืืื, ืฉืืฉ ืื
ื ืจืื ืืืืืืื.
: "ืืฉืืืช ืฆื ืฉืืืฉื" ืื ืืืืจ ืืืื7#ืืืืจ
ืืื ืืืื ืืจื ื ืฉื ืกืื(, ืื ืืจืืช "ืฆื ืฉืืืฉื" )ืืื ื ืืืืจ ืืืืฅ ืืืจืืื, ืืื ื ืืืืจ ืจืฉืช ืืจืื ืืจืฆืืช )
ืืจืืช ืกืคืง ืืืื ืืจื ื(. ืืืจืืข ืฉืืืืืื ืขืืืืช ืืช ืื ืชื ืืจืืฉื ืฉื ืืืจืืื, ืืื ืืืืื ืืืืช ืืื
ืืงืื ืืืื ืืจื ื ืืื ืืืืงื ื ืืกืคืช. ืขื ืืืช, ืื ืื ื ืื ืืืฆืืื ืืืื ืื ืื ืฉืืืจืืื ืืืืฉื ืืขืจืืืช ืฉืื ืืช
(.1ืจ #ืื ืืืืจ ืืืืืืช ืืจืฉืช )ืจืื: ืืื
ืืืืืื ืฉื ืืืจืืื ืขืฆืื. -ืื ืื ืื ื ืืชืจืืืื ืืื ืฉืืฉืื
: ืืฉ ืกื ืืจืื ืืื ืืื ืืฆืืืื ืืืชืงืฉืจืื8#ืืืืจ
ืืคืฉืจ ืืื ืื ืื ืืฉ ืกื ืืจืื ืืื ืืื ืืฆืืืื ืฉืืชืงืฉืจืื )ืืืืื ืฉื ืฉื ืืืช ืืืืืืช ืืื ืืืืชืจ(. ืืืืืจ
. ืืืฉืืื ืืืืจืื ืืืขืช 2123ืื -ืืื ืงืจืืื ืืขืืงืจ ืืืืง ืืืขืจืืฆืื ืืกืืืืื ืฉืืืืกืกืื ืขื ืืื. ืืื
ืืืจ ืืื ืืืืืช ืืกืื ืืจื ืื ืขื ืืงืืจ ืืื ืืืื.
)ืืืคืฆืืื ืื(: ืืฉืืื ืฆืจืืื ืืืขืช ืื ืืขืืื ืืื ืืช )ืืื ืื ืชืืื ื( 9#ืืืืจ
-ืืฉืืื ืืืืืืจืช ืฆืจืืื ืืขืืื ืื ืื ืืื ืชืืื ื ืืขืืจืืช )ืืื ืืืฉืชืื ืฉืื ืืขืจื ืชืืื ืืช ืื
ืืฉ ืืฉืช"ืค ืืชืื ืืืืจื ืฉืืืื ืืืื ืืขืฉืืช ืืจืฆืื ื ื ืขื (. ืืฉื ื ืืงืจืื ืฉืืื ืืืงืื ื ืืืงื, ืชืกืื ืืจืืื
ืืืฉืื ืืืจืืื, ืื ืื ืืืื ืืืื ืืก ืชืืื ืืช ืืืฆืื ืืืช ืฉืื ืืืจ ืืืชืงื ืืช )ื ืืืข ืืืืื ืืืช ืืืืืื ืืืืข
ืืกืืืื(. ืืืงืจื ืืื, ืืืฉืช"ืค ืืฆืืจื ืืืคืขืื ืืช ืืฉืืื ืฉืื ื ืืืืคื ืืื ื, USBืงืืืกืืช ืืื ืืืืืจื
ืชืงื ืื ืืืขืจืืช ืืืคืขืื.ืืืืฆืขืืช ืืืืื ืฉืืฉ ืืจืฉืืชื, ืืื
![Page 25: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/25.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
25 2021 ืืืืืกื ,132ืืืืื
Commandืื ืืื ืืืื ืืคืชืื -ืฉืชืืืจืชื ืืขืื ืื ืขืื ื ืขื ืืืืืจ ืืื pingืืฉืืื ืฉื ืคืงืืืช
Prompt ืื ืืจืืื ื ืืืืชืืื ืืฉืืื ืืืืืืชICMP ืืื ืงืื ืื ืชืืื ื ืฉืืื ืืืื ืืืืืืจ -ืื ืืชืืงืฃ
ืืืืชืืืื.
: ืฉืืืืฉ ืืงืืืื ืื ืืืคืฆืื11#ืืืืจ
ืฉืจืฉืช ืืืจืืื ืชืืฆืข ืฉืืืืฉ ืืงืืืื ืื ืชืื ืื ืืืืขืืจืื ืืืืจื ืืขืฆืืจ ืืช ืืฉ ืืคืฉืจืืช ืื ืืืืืืช
ืืขืจืืฅ ืืกืืื. ืืฉืืืืฉ ืืืงืืืื ืืืื ืืืืืช ืื ืืืจ ืืื ืืคืืืฆืื ืฉื ืฉืืืช ืืืืืืืช ืื ืืชืืื ื, ืืคืืช
ืื ืฉืืืขืจืืืช ืืืจืืื ืื -ืืืืืืช ืฉืืืืขืืช ืืชืืืื ืืกืืื ืืื'. ืืืืื ืืืขืืืช ืืืกืืจืื ืืืขืื
ืื, ืื ืืื ืข ืืื ืืืืจืืก ืืืชื.ืืืฆืืืช ืื ืืขืจืืฅ ืืกื
ืืืงืื ื ืืขืื ืฉืืฉืืจื ืืืชื?
ื ืกืืื ืขื ืื ืฉืืืืืจืืช ืืืชืืืจืืช ื ืฉืืขืืช ืืืื ืงืืฆืื ืืืช, ืื ืื ืืฉืืฉืืช "ืกืคืจ ืืืจืื" ืืขืื
ืืฉืื ืื ื ืืชืืืืื ืืคืชื ืฉืืื ืืืืืืช ืืืืข. ืืืจืืื ืื ืืืืืื ืืขืื ืืืืื ืืืื, ื ืืื ืืืืฉื ืืจืื ืื
ืื ืฉืชืืื ืขืืืื. ืืขืืืช ืืืช, ืืืจืืื ืื ืืื ืื ืืื ืื ืงืื ืื, ื ืืื ืืืืฉื ืืืืืจืืช ืืฉืืื ืืืฆืืจ ืฉืืื ืื
ืืืง ืื ืืืืืจืืช )ืื ืืืฉืื ืฉื ืืืชืจ ืืื ืืืื ืืืืื ืืฉืืืข ืฉื ืืื ืืฉื ืืืฉืืืื ืฉืขืืืืื ืืจืฉืืชื ื(.
![Page 26: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/26.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
26 2021 ืืืืืกื ,132ืืืืื
(Data Exfiltrationืืืืืืืช ืืฉืืืืช ืืืืืืช ืืืืข )
ืจืฉืืื ืืืื ืฉื ืื ืืฉืืืืช ืืืืฆืืข ืืืช ืืืขืืืช ืฉืขืื ืืขืช ืืชืืืช ืืืืืจ ืืื ืืื ืฉืื ืงืืืืช
ืืืืืช ืืืืข. ืืกืืื ืืื ืืื ืื ืืฉื ื ืืื ืกืืฃ ืืืื, ืืื ืืืืืืืช ืจืง ืขื ืืื ืืืืืื ืืืืืืืืช ืฉื ืืชืืงืคืื.
ืืขืช, ืืฆืื ืขื ืืืช, ืืจืืืชื ืืกืชืืื ืขื ืคืจืืืืงืืื ืชืงืฉืืจืช ืืืืกืกืื ืืงืืืืื, ืื ืขื ืขืงืจืื ืืช ืืกืืกืืื.
ืืื ืืฉืืืืฉ ืืขืืจ ืขื ืืื ื ืืืงืืช, ืืืืงื ืืืจ ืื ืจืืืื ืืืืช ืืืื. ืืืงื -ืืกืคืจ ืฉืืืืช ืืืืฆืืข ืืืืืช ืืืืข
ืืืืจื ืฉื ืืืืง ืืื ืืืืืจ ืืื ืืชืช ืืื ืืฉืจืื ืืืื ืื ืื ืืืื ืืกืืกืืื ืฉืืื ืชืืืื ืืืฉืชืืฉ
ืืขืงืจืื ืืช ืืืกืืกืืื ืืืืืืืื ืืฉืืืืช ืืืื ืืืืืื ืืืชืงืืื -ืืื ืืืฆืืจ ืฉืืืืช ืืืืื ืืฉืืื. ืืืจื!
ืกืืื.ืืื ืคืจืืืืงืื ืื ืขืจืืฅ
IPv4( ืืคืจืืืืงืื Type of Service) TOS -ืฉืื ืื/ืืืกืคืช ืฉืื -ืขืจืืฅ ืกืืื ืืืืกืก ืืืกืื
ืขืืืจ ืืืืจืช ืืืืืช ืฉืืจืืช. TOS ืืชืฉื ืงืจื ืกืืืืืช 9( ืืงืฆื IPืคืจืืืืงืื ืืืื ืืจื ื ), RFC1349-ืืืืืืจ ื
ืืื ื ืขืืืจ ืืืืจืช ืงืืืืืช, ืืืืืจ ืืื ืฉืืขืจื ืืืื ืืืชืจ 1-1ืืืืืื ืืจืืฉืื ืื ืืืืืฆืืื ืขืจืืื ืฉื 1
ืืืืฉืื ืืืืืื ืฉืืืื ืืื ืืืืจ, TOSืืฉืื ืืชืืืืืกืืืืืช 1ืขืจืื ืื ืืจืฉืช ื ืืชื ืช ืงืืืืืช ืืืืืื.
(delay) :ืืืืื ืืช. ืืืืืื
1111 - ืืืืืช ืฉืืจืืช ืจืืืื
1113 - ืืืืจ ื ืืื
1131 - ืืืช ืืืืืืื
3111 - ืืฉืืืื ื ืืืื
.1ืืืื ืืืืืช ืืขื ืขืจื TOSืืืื ืืืืจืื ืืฉืื
ืืกืคืจ ืืืงืจืื ืืฆืืขื ืืช ืืฉืื ืืื ืืชืืจ ืขืจืืฅ ืกืืื. ืขืืืจ ืื ืืืืื ืฉื ืฉืืืช, ืชืืงืฃ ืืืื ืื ืฆื ืืช ืื
ืืื ืื ืืขืืจืจ ืืฉื 1ืกืืืืืช( ืื ืื ืฆื ืืืง ืืื ื )ืืื ืืืฉืืืจ ืืช ืืกืืืืช ืืืืจืื ื 9ืืฉืื )
ืกืืืืืช(. ืขื ืืืช, ืืฉื ื ืืกืคืจ ืืกืจืื ืืช ืืฉืืื: 1-ืืืืฉืชืืฉ ืจืง ื
. ืื ืืกืฃ, ืขืืืืช ืฉื ืืกืคืง ืฉืืื ืฉืืื ืจืืืื ืืืช ืืืืืืืื ืฉืืฉืืื ืืื ืืชืืืชื )ืืคื ื ืขืฉืืจ(, ืื ื .1
ืืืขื ืชืืื ืฉืืืืื ืืช Windowsืืืฉืืื ืขื -ืืฉืื ืืื ืืื ืืจืืจ ืืืืชืจ ืืกืืืืืช ืืกืืืืืช
.TOS-ื 1ืืขืจื
ืืื ืืืกื ืืืืืืื 1ืื ืฉืืืื ืขื ืืขืจื ืืช ืืขืจื ืฉื ืืฉืืืืืืืืช ืืืจืืก ืฉืื ืื ืืืืจืืช ืืจืฉืช .2
ืืช ืืขืจืืฅ ืืกืืื.
, ืืื ื ืืชื ืืืฆืข ืืืช ืืืขืืื. ืื ืขืืื ืืืืืช ืืขืืืชื ืื ืืืจืฉ ืชืืื ื ืืืืืืืชืฉืื ืื ืฉื ืืฉืื ืืื .3
ืขื ืืืขืจืืช ืฉื ืืฉืืื. DLPืืืชืงื ืื ืคืชืจืื ืืช
![Page 27: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/27.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
27 2021 ืืืืืกื ,132ืืืืื
ืจ(. ืืืงืื ืืืืืจื )ืื ืื ื ืชืื ืืืงืืช ืืคืืช ืชืืืืืช ืืืืืืื ื ืจืืืื ืื ืืฉืื ืืื ืืืจ .4
ืืกืืืืืช ืืจืืฉืื ืืช ืื 2 -ืื ืืืืืช, ืืืืงืื ืืืืฉ ืืช ืืฉืื ืืื ืืฉื ื ืฉืืืช ืฉืื ืื
Point Code Services Differentiated ืืืืืจ ื(-RFC2474ืฉืขืื ืชืืื ืืคืืจืื ืืืฉื, ื )-ืืกืืืืืช 2
( ืฉืืื ื ืชืืื ืืคืืจืื ืืืฉื.RFC3168-)ืืืืืจ ื Notification Congestion icitExplืืืืจืื ืืช ืื
IPv4( ืืคืจืืืืงืื Identification) IP-IDืฉืื -ืฉืืืืฉ ืืืื ื/ืกืืคืจ -ืขืจืืฅ ืกืืื ืืืืกืก ืชืืืื
ืกืืืืืช, ืฉืืฉืืฉ ืืืงืืจ 32ืืืืื Identificationืืฉืื ืืฆืืข ืฉืืืืฉ George Danezis, 2119ืืฉื ืช
(, ืืชืืจ ืฉืื ืคืืื ืฆืืืื ืืืืฆืืข ืืืืืช ืืืืข. tationFragmen IPืืฆืจืื ืืืืงื ืืืจืืื ืืืืฉ ืฉื ืืืืืืช )
ืืืืจื ืฉื ืืฉืื ืืื ืืื ืืชืช ืืืืืืืช ืขืจืืื ืืืืืืืื ืื ืฉืืืื ื ืืชื ืืืจืืื ืืืชื ืืืืฉ ืืืงืจื
ืื ืคืขื ืฉืืื ืืืฆืื ืืืืื, ืืกืคืจ ืืืืืื ืฉืืื ื ืืชื ืื ืขืืื ืืืื -ืืฆืืจื. ืืจื ืืคืขืืื ืฉืื ืคืฉืืื
ืืืจืืช ืืจืื ืืฉ ืืกืคืจ ืืืืืื ืืืฉืื(.ืืืฃ ืืืืืืช ืฉืข 25)ืืื ืืืืื ืฉืืื
', 3ืื ืคืขื ืฉืืฉืืื ืจืืฆื ืืืขืืืจ ืืช ืืืื ' - Scan Idle-ืืืกืืก ืืืืืจื ืืชืงืฉืืจืช ืืื ืืืื ืืืื ื
ืื ืืงืื ืื ืืฉื ื ืืชืืื(. ืืชืืืื ืฉื - HTTPืชืงืฉืืจืช -)ืืืืืื ืืืขืื IPืืื ืฉืืื ืืฉืจืช ืืืืืช
)ืื ืฉืชืงืฉืืจืช ืฉืชืืืข ืืขืชืื ืื ืชืงืื ืืช ืืืชื ืืกืคืจ ืืื 3-ื IP-ID-ืืืจืืช ืืฉืจืช ืืืขืืืช ืืช ืขืจื ื
', ืืื ืื ืฉืืื ืืืื ืืฉืจืช 1ืืืืืืืืช(. ืื ืืฉืืื ืจืืฆื ืืืขืืืจ ืืืงืื ืืช ืืืื ' -ืืืืืื ืื ืืืืืช
'.1' ืืืืืจ ืืื ืฉืืืื ืฉื ืืื '3ืืืืชืืืื. ืืชืืื ื: ืฉืืืื ืฉื ืืื '
ืขื ืืื ืืืฉื ืืฉืจืช, ืืืืืง ืืื ืืขืจื ืฉืืื ืืงืื IP-ID-ืฆืืื, ืืืืง ืืืื ืื ืงืืืขืื ืืช ืขืจื ืืืชืืงืฃ, ื
ืืืขืจื ืืืืจืื ืฉืืื ืงืืื. ืื ืืขืจื 2-ืื ื 3-ืืืื ื
ืืืขืจื ืืืืจืื ืืืืืข ืื, ืื ืืฃ ืืื 3-ืฉืืื ืงืืื ืืืื ื
'. 1ืื ืืืฆืข ืืงืฉืืช ืืฉืจืช ืืืื ืืื ืืืฉืืื ืืชืืืื ืืขืจื '
ืืืขืจื ืืืืจืื ืฉืืืืข 2-ืื ืืืื ืืืืื, ืื ืืขืจื ืฉืืื ืงื
ืื, ืื ืืื ืืจืืข ืฉืื ืืื ืืชืืืจ ืืืืจืื ื ืืขื ืืืืื,
ืืฉืชืืฉ ื ืืกืฃ ืฉืื ืืงืฉื ืืฉืจืช )ืืื ืื ืฉืืฉืืื ืืืืงืื
ืื ืฉื ื ืืืืฉืืื ืืืืืืื ืฉื ืืืฉืื ืืฉืจืช, ืื ืืืืจ
'(.3ืฉืืฉืืื ืืืฆืข ืืงืฉื ืืฉืจืช, ืืกืื ืืช ืืขืจื '
ืืืื ืืืงืืืงื ืืื ื ืืฉืืช ืืฉืืคืืจ ืืฉืืขืืชื ืืืฉืืืื ืื
ืฉื IP-, ืืขืืงืจ ืืืื ืฉืืื ืื ืชืงืฉืืจืช ืืฉืืจื ืื ืTOSืฉื
ืืชืืงืฃ. ืืืงืื, ืฉืจืช ืคืืคืืืจื ืฆื ืฉืืืฉื )ืืื ืืชืจ ืืืฉืืช ืืืืืื( ืืืื ืืืืืช ืืฉืืืืฉ, ืื ืขืื ืืฉืจืช
ืืืื. IP-IDืืืื ืืช ืืืืืืช ืืืืืื ืขืจื ืืืืืืื ืฉื
![Page 28: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/28.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
28 2021 ืืืืืกื ,132ืืืืื
ืขืื ืืืืืืืช ื ืืงืืืช ืืืื , ืื ืืืื ืื ืืขืจืืืช ืืืค2119ืืฉืืื ืืื ืืืืชื ืืืื ืจืืืื ืืืช ืืฉื ืช
ืืืฆืขืืื ืืืืื ืืชืืจ ืืจืืจืช ืืืื:
ืืฆืืจืช ืขืจืIP-ID .ืฉืืืืกืก ืขื ืคืื ืงืฆืื ืงืจืืคืืืืจืคืืช
ืืฆืืจืช ืขืจืIP-ID ืฉืื ื ืืื ืชืงืฉืืจืช ืื ืคืจื )ืืกืคืืจื ืืื ืืฉืจืช ืืืื ืืฉืืื ืืื ืื ืืืชื ืกืคืืจื
ืื ืกืคืืจื ืืืืืืืืช(. -ืืื ืืื ืืฉืจืช ืืืื ืืืงืื
ื ืงืืืข(, ืืื ืืคื ืฉืืืืช ืืืืืืช ืืืืืืืช )ืขืจRFC6864ืฉืืืืืจ ืฉ ,-IP-ID ืืืื ืืืืืช ืืขื ืื ืขืจื
ืืืื ืืืืคืก ืจืื ืืืื.
ืืื ืืืื ืืฆืืืื ืืืชืงืฉืจืื. ืืกืชืืืช ืขื ืื ืฉืืฃ ืืื ืื ืืฉืชืืฉ ืืขืจืืฅืื ืืกืฃ ืืื, ืืฉืืื ืืื
ืื ืื ืืื ืืืืืืื ืืืจ ืืืฆืข ืืงืฉื ืืฉืจืช )ืืื ืื ืืืขืืช ืื ืืืืื ื( ืขื ืื ืช scrapperืืกืคืืง ืฉืืื,
ืฉืืชืงืฉืืจืช ืชืืื ืืืื ืืืขืืืืช )ืืื ืขืืืืืช ืืจืขืฉืื ืืชืงืฉืืจืช(.
(URL Shortenersืฉืืืืฉ ืืืงืฆืจื ืืื ืงืื ) - ืฉืืืืฉ ืืืื ื/ืกืืคืจ -ืขืจืืฅ ืกืืื ืืืืกืก ืชืืืื
ืฉืืฉ ืืื ืืช ืืืืืืช ืืฉืืืจ ืืืืฆืื ืืช ืืืืช URLืืฉืืื ืืืื ืืืืกืกืช ืขื ืฉืืจืืชื ืงืืฆืืจ ืืชืืืืช
ืืืืืื ืฉืื, ืืื ืืฉืืื ืืืืช ืืื ืื bit.ly-ืจืื(. ืืฉืชืืฉ ืืืื ืืกืืช ืืื ืงืืฉืืจ )ืชืืื ื ื ืคืืฆื ืื
ืขื ืฉืืจืืชืื ื ืืกืคืื ืขื ืืชืืืืช ืงืืืช. ืืฉืืื ืืืืงืื ืฆืจืืืื ืืืกืืื ืขื ืืื ืง ืืงืืฆืจ )ืขืืืฃ ืืื ืฉืื
ืคืืคืืืจื ืืืืืื(. ืื ืื ืืฉื ื ืืื ืืงืืฉืืจ ืืคื ื.
ืืฉ ืืคืชืื bit.lyืขื ืื ืช ืืืฆืืจ ืงืืฉืืจืื ืืืชืจ :ืืขืจื
ืืฉืชืืฉืื ืืืฆืจืช ืฉืืื ืืฉืชืืฉ ืืืื ื. ืคืชืืืช
ืคืืจืืจื ืืื ืฉืื ืชืืื ื ืจืฆื ืืืฆืืจ. ืงืืืืื ืฉืืจืืชืื
ื ืืกืคืื ืืืื ืืจื ื ืฉืืกืคืงืื ืฉืืจืืช ืืืื, ืืื ืืืจืฉืื
ืืจืฉืื.
ืืกืคืงืช ืคืื ื ืฉืืจืื ืืช bit.lyืืจืืข ืืฆืืจืช ืงืืฉืืจ,
(, ืืืืืงื Total Clicksืืืืช ืืื ืืกืืช ืืงืืฉืืจ ืืืงืืฆืจ )
ืฉืืื ืฉื ืืืืช ืืื ืืกืืช ืืคื ืืืื, ืืฉืืืืช ืืฉืื ืืช
( referrer.documentื ืืืฉื ืืงืืฉืืจ )ืืืืกืก ืขื
ืืืืืงืืืื ืืื ื ืืืฉื )ืื ืจืื ืืืืกืก ืขื ืฉืืจืืช
GeoIP ืฉืืจืืชืื ืฉืื ืื ืืฉืืจื ืืืฆืืื ืืช ืืืืืข ืืฆืืจื .)
ืชื.ืฉืื ื, ืื ืื ืชืื ืื ืืืื ื ืคืืฆืื ืืืจืื
', ืขืืื ืืืฉืช ืืงืืฉืืจ ืืืงืืฆืจ )ืืื ืืืขืืืช ืืช 3ืืืืื ืช ืืฉืืื, ืขื ืื ืช ืืืขืืืจ ืืชืืงืฃ ืืช ืืืื '
', ืืื ืื ืขืืฉื ืืืื. 1(. ืื ืืฉืืื ืจืืฆื ืืืขืืืจ ืืช ืืืื '3-ืืืื ื ืฉื ืืืืช ืืื ืืกืืช ื
[bit.ly]ืืืืืข ืืื ืืืื ืฉืืืคืืข ืขืืืจ ืงืืฉืืจ ืฉื ืืฉืชืืฉ ืืื ืื ืืืชืจ
![Page 29: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/29.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
29 2021 ืืืืืกื ,132ืืืืื
', ืืชืงืฉืืจืช ืฉื ืืฉืืื ืชืืจืื ืืขืจื ืื )ืืื ื ืืื ืืกืืช ืืชืืื3133ืขื ืื ืช ืืฉืืื ืืช ืจืฆืฃ ืืืืืื '
(:1ืืขืจื
ืื ืฉืชื ืฉื ืืืช(. -ืืชืืงืฃ, ืืืืื ืชื, ืืืืง ืืืจืืืืื ืงืืืขืื ืฉื ืืื ืืช ืืืืช ืืื ืืกืืช )ืืืืืื ืืืขืื
'. ืื ืขืจื ืืืื ื ืื ืืฉืชื ื ืืืืจื ืืืื ืืืื 3, ืื ืืชืืงืฃ ืืกืื ืืช ืืืื '3-ืื ืขืจื ืืืื ื ืขืื ื
'.1ืืืืงืฆื, ืืฉืืื ืื ืืืฆืข ืืงืฉื ืืฉืจืช ืืืื ืืชืืงืฃ ืืกืื ืืช ืืืื '
, ืืฉืืฉืืืืฉ ืืฉืืจืืช ืืืืจ ืื ืคืืฅ ืืืืื ืืืขืืื 3-8ืืืขืื ืื ืืฉืืื ืืื ืืืืืช ืืช ืืืืจืืช ื ืืชื
ืืื'(. ืืืื, Alexa ,IP Reputationืืืืืงืืช ืืืืืืืืฆืื ืฉืืคืขืืืืช ืืขืจืืืช ืืืื ื ืืืจืืื ืืืช )ืืืจืื
ืืกืชืืืช ืขื ืื ืฉืืฃ ืืื ืื ืืฉืืื ืืฉ ืืกืคืจ ืืกืจืื ืืช ืืจืืจืื. ืืืืื ืืฉืืื ืืงืืืืช, ืืฉืืื ืืื
ืืืกืื ืืช ืื ืืืงืฉืืช ืืื ืืืื ืืฆืืืื ืืืชืงืฉืจืื. ืื ืืกืฃ, ืงื ืืืื ืขืืืจ ืืจืืื ืคืฉืื ืืืื ืก ืืงืืฉืืจ
ืฉื ืืงืฆืจ ื ืืชื ืืขืงืืฃ ืืช ืืืื ื(. ืืืกืืฃ, 31#ืืื ืืืจืืก ืืช ืืขืจืืฅ ืืกืืื )ืืืืจ ly.bit-ืืืืฆืืืช ื
ืืืื ืงืื ืขื ืืื ืืืกืคืช ืืกืืื '+' ืืกืืฃ ืืงืืฉืืจ, ืืงืืืช ืืืชืจ ืืื:
ื ืืืฉืคืช ืืช ืืงืืฉืืจ ืืืจืื ืืืื ืืืขืจืืช ืืขืืืจื, ืืื ืื ื ืกืคืจืช ืืืื ื ืืื. ื ืืชื ืืื ืืกื ืืงืืฉืืจ ืื
'(, ืชืืืฅ ืืช +, ืืืขืจืืช ืชืืื ืก ืืงืืฉืืจ )ืขื ืืืืช 'bit.ly-ืืืืฉื ืืขืจืืช ืฉืขืืืจ ืื ืืงืฉื ืฉืืืฆืืช ื
![Page 30: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/30.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
31 2021 ืืืืืกื ,132ืืืืื
ืฉืชืขืืืจ ืืช ืืืฉืชืืฉ ืืืฃ ืืืืืขื ืืื ืกืคืืจื HTTP 301ืืงืืฉืืจ ืืืจืื ืืชืืืืจ ืืืชื ืืื ืขื ืชืืืืช
ืืจืืก ืืช ืืขืจืืฅ ืืกืืื ืืืื ืืคืืืข ืืชืคืงืื ืฉื ืืืชืจ(.ืืืื ื )ืืื ืช
ืืื ืืชืืืจืืช ืืืจืื ืืืชืจ - ืฉืืืืฉ ืืืื ื/ืกืืคืจ -ืขืจืืฅ ืกืืื ืืืืกืก ืชืืืื
ืืจืื ืืขืจืืืช ืืืื ืืจืฉืชืืช ืืืจืชืืืช ืืฆืืืืช "ืืื ืืชืืืจืืช ืืืจืื" ืืืฉืจ ืืฉืชืืฉ ืืชืืืจ ืืืฆืืื
ืืื ืืืชืืืจ ืืืืชื ืชืง ืืืื ืื ืืฉืืจืืช. ืืชืืื ื ืืื ืืืืื ืืฉืืฉ ืืชืืจ ืขืจืืฅ ืกืืื, ืืืฉืจ ืืฉืืื ื
ืืกืืจืืืืื, ืืืชืืงืฃ ืืืื ืืงืจืื ืืช ืืืื ืื ืืืื ืืืคืขื ื ืืช ืืืืืข. ืืฉื ืื, ืืฉืืื ืืืืงืื ืฆืจืืืื
ืืฉืชืฃ ืืื ืืื ืืช ื ืชืื ื ืืืชืืืจืืช )ืืจืื ืฉื ืืฉืชืืฉ ืืกืืกืื( ืืืขืื ืืืขื.
[ืืขืืจ ืืืืืจืื ืืฉืืื ืืขืช ืฉืืืืืจืื ืืืฉืืจืื ืจืฉืืืช: WhatsApp-ื ืืืื]
', ืืฉืืื ืืชืืืจ ืืืฉืชืืฉ 3ืืืช ืืืืจืืช ืฉืืืืกืกืืช ืขื ืชืืืื, ืขื ืื ืช ืืืขืืืจ ืืช ืืืื 'ืืืืื ืืฉื
' ืืื ืื ืขืืฉื ืืืื. ืืชืืงืฃ, ืืืืฉืืจ ืืืจ, ืืืืง ืืช ืฉืขืช ืืืชืืืจืืช 1ืืืื ืืกืืื ืืขื ืื ืช ืืืขืืืจ '
ืืืืจืื ื ืืืชืจ ืืืงืื ืืช ืืืืืื ืืชืื ืืจืฉืช ืืืจืืื ืืช.
:ืืฉืืื ืืืืช ืืื ืงืฆืช ืืขืืืชืืช, ืืืืช ืืืื ืกืืืืช
lackืฉืืืืืื ืืืืืช ืืืื ืืืื ืืืชืจ ืืืื ืืืื ืืืขืืืช ืืฉื ) ืืืืื ืืืืืช ืืืฉืชืืฉืืืืฉ .1
scale)
, ืฉืื ืื ืขืืื ืืืืืช ืงืฉื ืืืกืืืจ ืืื ืืื ืืชืืืจ ืืืฉืชืืฉ ืืชืืืจืืช ืื 3#ืืคืจ ืืช ืืืืจ .2
ืืืืื ืืืื ืืขืฉืืช ืืจืื.
ืจืื ืืฉืืชืืืจื ืฉื ืื ืืืืฉืืจืื ืืืืื IP-ืฉืืฆืืืื ืื ืืช ืืชืืืช ื Gmailืืฉื ื ืืชืจืื ืืื .3
ืฉื ืืืืฉืืจ ืฉื ืืชืืงืฃ ืืืฆื ืืฉื ื ืืื ืขืืื ืืืฉืืฃ ืืืชื(. IP-ืืขืืจ )ืืื ืื ืืช ืืชืืืช ื
ืื ืชืืื ืืช ืืืื, ืืืื ื ืืชื ืืืกืื ืืืชื ืื ืืืืจืื ืืืฉืช ืืจืฉืชืืช ืืืจืชืืืชืืจืฉืช ืืจืืื ืืช ืกืืืจื .4
(.31#ืืืืืืื )ืืืืจ
ืืชืขืกืงืืช ืขื ืืืืื -ืขืจืืฅ ืกืืื ืืืืกืก ืืืกืื
![Page 31: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/31.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
31 2021 ืืืืืกื ,132ืืืืื
ืื -ืข ืืชืืื ืืช ืืืฉืจืชืื ืืืืืืจ ืขื ืืืชื ืืืจ ืคืขืืื ืจืืืช ืืืืื ืืื ืงืฆืจ, ืืืฆืืง ืืืืจืื ืืืืื ืืกืื
ืืื ืืืืจื ืืืื ืฉืืืื ืฉืืืจ ืคืขื ืฉืืืืืจื ืืื ืฉืคืืืช ืืื ืืขืฉืืช ืืช ืืืชื ืืืืจ ืฉืื ืืฉืื ืืืฆืคืืช
ืืชืืฆืืืช ืฉืื ืืช, ืืืืฉืืื ืืืืจืื ืืืืืช ืฉืคืืืื. ืื ืืกืคืจ ืืฉืชืืฉืื ืืงืืงืื ืืืืชื ืืฃ ืืื ืืจื ื, ืืื
ืฉืจืช ืืืืฉ ืืืกื ื ืชืื ืื, ืืืฆืข ืื ืฉืืืืชืช ืืืคืืฉ, ืืืฆืื ืืช ืืืืืข, ืืขืื ืืืชื, ืืฆืื ืืืชื ืกืืื ืฉื
ืืืืื ืื ืื ืื ืืืืืจ HTTP, ืคืจืืืืงืื ืืืืืื ืืืืืจ ืขื ืืชืืืื ืื ืคืขื ืืืืฉ. HTMLืืืขืื ืชืื ืืืช
ืื ืื ืื ืืืจ ืืืืื ืข ืืืฆื ืฉืื ืืืคืืคื ืืฆืื ืืืืข ืฉืืื ื ืขืืื ื ืืืืืฉื ืืฉืจืช ืืืืงืื, ืฉืืืจืชืฉื ืืชื
.ืืช ืืฉืจืช ืืืชืจ ืืืคื ืฉืฆืจืื
ืืฉืืื ืืืืช ืื ืฆืืช ืืช ืืืืืืช ืฉื ืื ืื ืื ื ืืืืื ืฉืื ืื "ืืืืืืฃ" ืืช ืืืื ืืืืืืง ืฉืื ืืืืืืงื ื ืื ืก
ืฉืืืจื(. ืืืืืื, ืืจืืข ืืขืื ืช ืืฃ ืืื ืืจื ื ืืฉืจ ื ืืืฉื ืืืื ืืขืืจ )ืืืืง /ืืืืืื ืืืืชืืืื )ืืื ืืฆืืจื
ืื ืืฉืจืชืื(, ืืฉืจืช ืืืื ืืืืื ืขื ืืชืืืื ืืืื:
Date ืืื ืชืืจืื ืืืงืฉื ืื ืืืื )ืืืื ืื ืืืื ืืคื ืืฉืจืช(, ื-Age ืืืืืจ ืืคื ืืืืช ืืฉื ืืืช ืืืจืืข
ืืื ืืืืืื ืืืงืกืืืื -ื ืืชื ืืจืืืช ืืืืข ืจืืืื ืื ื ืืกืฃ Cache-Control-ืฉืืืฃ ื ืื ืก ืืืืืื ืืจืืฉืื ื. ื
1ื ื: ื ืฉืืจื ืื )ืืคื ืืชืื max-age-ืืืืข ื Ageืขื ืฉืืขืจื ืฉื -ืฉื ืืืช. ืืืืืจ 111ืฉื ืืืฃ ืืืืืื ืืื
ืฉื ืืืช(, ืื ืืืงืื ืืืงืฉ ืืช ืืืชื ืืงืฉื ืฉื ืืช, ืืื ืืงืื ืืืืืง ืืช ืืืชื ืชืืืื ืืฆื ืืฉืจืช 31-ืืง' ื
(. 111Not Modified)ืื ืืงืื ืงืื
ืืืง' ืืืื, ืคื ืชืืงืคื ืฉื ืืชืืืื, ืืืื ื ืืืงืช ืืืืืจืื ืืืืืื. ืืืฉืชืืฉ ืืื ืฉืืืงืฉ ืืช 5ืืชืื
ืืชืืืื ืื ืืฉืจืช ืืฆืืจื ืืืฉืช ืฉื ืืช ืืืกื ืื ืชืื ืื, ืืืฆืข ืืช ืืืชื ืืงืฉื ืืฆืืจื ืืืืืช ืงืฆืช ืืืชืจ ืืื
ืืฉืืืืชื, ืืื'.
![Page 32: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/32.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
32 2021 ืืืืืกื ,132ืืืืื
"ืืืืื ืืฉืจืช" ืื "ืื ืืืืื ืืฉืจืช ืขืืืื" ืืืฉืืื ืืฉ -ื ืืชื ืืืืืื ืืื ืฉื ื ืืฆืืื ืฉื ืืชืจ ืืกืืื
URLืืืืืช ืืฉืืื ืืื. ื ืืื ืืืจืืื ืืื ืขืจืืฅ ืกืืื. ืจืืฉืืช, ืขื ืฉื ื ืืฆืืืื ืืืกืืื ืขื ืืชืืืช
ืืฉืืชืคืช.
ืื ืืื ืืขืื ืืื ืืฉืืื ืืช - HTTPืื ืืืื ืืฉืืื ืืืฆืื ืืืืืื ืืืชืืืจืื ืืืืฆืขืืช ืืืฆืืข ืืงืฉืืช ืืฉื
ืืง'( ืืื 5ืื ืืืฃ )ืืฉืจืช ืขืืืจ ืืืฆื "ืืืืื ืืฉืจืช" ืืืฉื HTTP', ืืืื ืขืืื ืืืฆืข ืืงืฉืช 3ืืืื '
', ืืื ืื ืฆืจืื ืืขืฉืืช ืืืื.1ืืื ืืขืื ืืื ืืฉืืื ืืช ืืืื '
. ืื ืืืฃ ืฉืืื ืงืืื ืืืฉืจืช ืืืืข Ageืื, ืืืืืง ืืช ืืขืจื ืฉื ืืืงืื ื ืื ืก ืืืชืจ ืืืื ืื ืงืืืข
(, ืื ืื ืืืืจ ืฉืืฉืืื ื ืื ืก ืืืฃ ืืื ืืขืืจ )ืืื ืื ืฉืืฃ ืืฉืชืืฉ ืืืจ ื ืืืฉ ืืืฃ Age > 0ืืืืืืื )
'. ืืืจืช, ืืฉืืื ืื ื ืื ืก ืืืื ืืื ืื ืืืฃ, ืืืื 3ืืื ืืืื ืืฉืืื ืืืืงืื(, ืืืื ืืกืื ืฉืืื ืงืืื '
'. 1ืืกืื ืฉืืื ืงืืื '
ืฉืขืืืืืช ืขื ืืืืื )ืืืขืืงืจ ืืืืื ืฉื ืฆื ืฉืืืฉื( ืื ืืืฉืืืืช ืขืืืจ ืืฉืืืืฉ ืฉืื ื ืื ืื ืื ืฉืืืืช
ืืืืืืช ืชืงืฉืืจืช ืืฉืืจื ืืื ืืชืืงืฃ ืืืื ืืืืฉื ืืืจืืื ื. ืืจืขืืื ืืืจืืื ืืืืืจืืื ืืื ืฉืืฉืืื "ืืฉื ื
"ืืืืกืกืช ืืืกืื" -ืืืืื( ืืืื ืืฉืืื ื ืืฉืืช ื -ืฉืืืฉื )ืืืงืจื ืืื -ืืฆื ืืืืคื ืืื ื" ืืฉืจืช ืฆื
ืืืจืืช ืฉืชืืืื ืื ืืื ืงืจืืื ืคื.
ืืกืืช ืืืื( )ืืจ ืืืืจืืฉืืช' ืืืื ืืืจืกืืืช ืืื ืกืง ืฉืืจืืกืื ืืชืื Denis Kolegov, 2131: ืืฉื ืช ืืจืืื
ืืชืืจ ืฉื ื ETagืืขื Last-Modifiedืขื ืฉืืืืฉ ืืืืืื ืืชืืจ ืขืจืืฅ ืกืืื. ืืืืืจ ืฉื ืืืฉ ืขื ืืืชืจืืช
ืืฉืืืืข ืืืืข -ืืื ืืืง ืืื ืื ืื ืืืืืืช ืืืืข ืฉื ืืฆื ืืืืืื ETagืขืจืืฆืื ืกืืืืื ืคืืื ืฆืืืืื. ืืืชืจืช
)ืืืืื ืืืฉืื( ืืืชื ืืืงืื ืฉืืืจ. ETagืืืฉืจืช, ืืื ืืืื ืืืืืจ ืขื ืขืจื
, ืืื ืืืื ืืงืืืข ืื ืืงืืืฅ ืื ืืืื ืฉืืฉ ืื ืืืืืื ืขืืืื ืืจื URLืืืื, ืืฉืืืงืื ืจืืฆื ืืงืืื ืืช ืืืชื
(. ืื ืืงืืืฅ ืืจื, ืืืงืื ืืืขื ืืช ืืืืืข ืฉืฉืืืจ ืื ืืืืืื. Expire-ื Cache-Control)ืืขืืจืช ืืืชืจืืช
. If-None-Matchืื ืืงืืืฅ ืืื ื ืืจื, ืืืงืื ืืืื ืืฉืืื ืืฉืจืช ืืงืฉื ืฉืืืืื ืืช ืืืชืจืช
ืฉื ETag-ืื ืืฉ ืืจืกื ืืืฉื ืืืชืจ ืืงืืืฅ )ืื ื -ืืืืชืจืช ืืื ืืืืจืช ืืฉืจืช ืืขืฉืืช ืืื ืืฉื ื ืืืจืื
ืืืชืืื ืื. ืื ืืื ETag-ืืืืชืจืช ืืชืืืื ืื ืชืืืืช ืืืงืฉื( ืื ืืฉืจืช ืืืืืจ ืืช ืืงืืืฅ ืืืืฉ, ืื
ืคืืื ืื . ืืื ืื ืื ืืื ืืืืื ืืืื ืืช ืืืHTTP 304 Not Modifiedืืจืกื ืืืฉื ืืืชืจ ืืงืืืฅ, ืืืืืจ
ืฉืื ื ืืืคืฉืื ืืฉืืื ืขืจืืฅ ืกืืื.
![Page 33: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/33.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
33 2021 ืืืืืกื ,132ืืืืื
Air-Gapืืืืฉืื QRืงืื -ืขืจืืฅ ืกืืื ืคืืื
ืืืื, ืืื ืืื ืืืืชื ื ืืฉ ืืฆืืืืช ืืืืืชืืืช ืืืืก ืืงืื. ืืืฉืืจื ืืืืคืื ืืืืฉืืื ืฉืื ื ืืืืืื ืืกืืืข
ืืฆืืืืช( ืืืืงืจืืคืื ืื. -, ืืฆืืื )ืื ืืืื Wi-Fiืืืืฆืืข ืืืืืช ืืืืข ืืืืฆืขืืช ืืืื ืืื ืื ืื ืืช
[Source: @rohane via Twenty20]
ืืืืืื ืืื ืคืฉืืื ืืืืฆืืช ืืืืข ืืืืฉื ืคืืื ืืื ืฆืืืื ืคืืื ืฉื ืืืกื ืฉืืฆืื ืืืืข ืจืืืฉ. ืืืืื,
ืฉืฉืืืืจ ืฉื ืืืืข ืืื ืืืื ืืืืืช ืงืฆืช )ืืืื!( ืืชืืฉ, ืืืื ืื ืชืขืืื ืืืื ืขื ืืืืข ืฉืืื ืื ืืงืกื
ืืชื ื"ืจ ืืจืืื ืืืจื ืืืื ืืืจืกืืืช ืื ืืืจืืื , 2138)ืืื ืืืืข ืืื ืืจื( ืืื ืื ืืคืฉืจื ืืืืชืจ. ืืฉื ืช
ืขื ืื ืช ืืืืขื ืืช ืืืื ืืฉืืืืจ, ืืืงืืื ืื ืืืืข ืืื ืืจื. QRืืื ืชืืืจ ืืื ื ืืชื ืืืฉืชืืฉ ืืงืืื ืืืืจ
ืกืืืืืช(. ืื 9ืืชืืืช )ืื ืืืช ืืื ื 2,851( ืืืื ืืืืื ืขื ISO/IEC 18004:2015)ืืคื ืกืื ืืจื QRืงืื
ืจืง ืืืชืืืช ืืืืืืช, ืืขืื ืกืืื ืื( ืื ืชืืืื ืืฉืืืจ ืขื A-Z, 1-8ืชืฉืชืืฉื ืจืง ืืืืชืืืช ืืืคืื ืืืจืืืช )
ืืืื, ืชืืื ืฆืืจื ืืจืืืืืฆืื ืืืื QRืกืืืืืช ืืื ืืืช(. ืืื ืฉืืืชืจ ืืืืข ื ืืฆื ืืงืื 5.5ืืืชืืืช ) 1,282
ืืืืืช ืืืื ืืืชืจ ืขื ืื ืช ืฉืืืืข ืื ืืื ืืืืืื. ืืืชืจ ืืืฆืืื, ืื ืฉืืืื ืืชืืื ื ืืืืฆื ืืฆืืจื
Reed-Solomonืืกืื ืืจื ืืืื ืื ืืืื ืืชืืงืื ืงืื, ืืืืคืฉืจ ืืฉืืืจ ืืืง ืืืืืืข ืื ื ืืื. ืืืืืจืืชื
, ืืืขืืจืช ืชืืื ืืช ืืืฉืืืืช WiMax)ืืื ืืืืกืงืื, QRืืื ืืืืืจืืชื ืืชืืงืื ืงืื ืฉื ืืฆื ืืฉืืืืฉ ืืงืืื
Voyger ืฉื ื ืืกื, ืืืืืง ืืืขืจืืืชRAID - .)ืืืืช ืืืขื ืืื ืืืืื ืคืืื ืฉืขืืกืง ืืืืืข
Mืืืืืืข ืืืื ืืืืืช ืืฉืืืืจ(, ืจืื 1%) Lืืืืืืจืืชื ืืืืืจืืช ืืจืืข ืจืืืช ืฉื ืชืืงืื ืงืื: ืจืื
ืฉืืืงื ืงืจืืขืื ืืืื ืืืช ืืฆืืืื ืืคืขื ื QR(. ืืฆื ืื ืืจืืืช ืงืืื 11%) H( ืืจืื 25%) Q(, ืจืื 35%)
ืื ืืชื ืืขืื ืืื ืื ืืจืืืช ืฉืืืืจ ืืืืืืช, ืื -' ืืื ืืื ืืืฆืืื ืืช ืืืืืข. ืืืืืืจืืชื ืืฉ ืจืง ืงืืฅ
.ืืืืืื ืืื ืืืื ืืช ืืขืืจืช ืืืืืข ืืงืืืืืช ืฉืื -ืืฆืืจื ืืืืื ืืจืื ืคืืืช ืืืืข. ืืจืืื QRืงืื
![Page 34: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/34.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
34 2021 ืืืืืกื ,132ืืืืื
. ืืื ืืฆืืข ืฉืชื ืฉืืืืช ืืืฆืืช ืืงืื ืขื ืืืืฉื QRืืืืืจ, ื"ืจ ืืืจื ืืฆืื ืืืชืจ ืืฉืืืืฉ ืคืฉืื ืืงืืื
-ืขื-ืื ืืฉืืช. ืฉืืื ืืืช ืืื ืืืืขืช ืืชืืื ื ืืกืื ืื "ืืืืจ ืืืจืืื ื ืืฆืืจื ืฉืชืืื ืงืฉื ืืืืื ื ืืขืื
ืฉืืืจ" ืื ืขืื ืื ืืฉืืช ืชืืืื ืงืืฉื ืืงืืื ืืช ืืืืื ืืื ืืืืื ืื. ืืฉืืื ืืฉื ืืื ืืื -ืขื-ืืื" ืื "ืืื
ืืฉืชืชืคืื, 11(. ืื ืืกืื ืฉื ืืืื ืืืงืฉืืืืฉ ืืจืืฆืื ืืงืฆื ืืืื ืืืชืจ ืืฉืืืื ืฉืื ื ืืกืืื ืืงืืื )ืืคื
ืฉืืืจ". ืื ืชืืื ื ื ืืืงื ืืฉืืื -ืขื-ืืื" ืืื ืืกืื ืื "ืืื-ืขื-ืืืจื ืืฆืื ืืกืคืจ ืชืืื ืืช ืื ืืกืื ืื "ืืืืจ
ืืืื ืฉืื ืืฆืืืื ืืืืืช ืืช 2.5%ืคืขืืื ืืฉื ืืื. ืจืง 11ืคืขืืื ืืฉื ืืื, ืืืจืฆืืช 21ืกืืืืช, ืืจืฆืืช
ืืชืืื ืืช ืืกืืืืืช.
ืืืข ืืืืืื ืืืืฉืชืืฉ ืืจืืงืืืื ืฉื ืืืืฉื ืขื ืื ืช ืืฉืืจ ืืืชื ืืืืคื ืืืื, ื ืืชื ืืืคื ื ืืช ืื
ืฉืืฉืชืืฉ ืืืคื ืื 2139ืืฉื ืช ืืชื ืืืืจ)ืืืืืงืจืืคืื ืฉื ืืืืคืื ืืื ืืงืืื ืืืชื(. ื"ืจ ืืจืืื ืืืจื
ืกืื ืืื -ืื ืชืืจืื ืืืืืจื ( ืขื ืื ืช ืืงืืื ืืืืขAudio Frequency Shifting Keyingืชืืจืื )-ืืฉื ื
(39KHz 21ืขืKHz.ืืืฉืืจ ืืืชื ืืจื ืจืืงืืืื ืฉื ืืืฉื )
![Page 35: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/35.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
35 2021 ืืืืืกื ,132ืืืืื
ืืชืืงืฃื ืงืืืช ืืืื ืฉื
ืืืคืจืกืคืงืืืื ืฉื ืืชืืงืฃ, ื ืกืชืื ืขื ืืขืจืืช ืืกืืกืืช ืฉืื ืืชื ืฉืืืฆืืื ืืืืข
. ื ืขืืืจ ืขื ืื ืืชืืืื, ืืืืงืืจื ืฉื ืืคืจืืืืงืื ืืืืืจืช DNSืืืืฆืขืืช ืคืจืืืืงืื
ืืคื ื ืืื ืืืืฉืื ื ืชืงืืชื ืืฉ ืืขืจืืฅ ืกืืื ืื ืืื.ืฉืืืช ืงืืืื ืืืืืข ืืขื ืืฉืื
ืฉื ืจืื ืื ืืืืื ืืืช. ืืืงืืจื ืฉืขืฉืืชื, DNSืืขืืืื ืฉืื ืืืกืคืจ ืขืฆืื ืฉื ืืงืฉืืช
ืคืชืื ืฉืืฉืชืืฉื ืื ืืชืืงืคืื, ืืืฃ ืืฆืืืชื ืืคืขื ื ืืช -ืืฆืืชื ืืช ืืืื ืงืื
ืื ืชืื ืื ืฉืืืขืืจื )ืื ืืชืืงืคืื ืื ืฉืื ื ืืจืื ืืืืืจืืช ืืจืืจืช ืืืืื(. ืืฉืืชื
ืืกืืจื ืฉืืื ืื ืื ืื ืงื ืืืืื ืืช ืืชืืื ืฉืืืขืืจ ืืชืืื, ืืื ืขืื ืืขืฆืื ืฉืื ื
Dataืืขืจืืช ืืืืืืจืืช ืฉื ืืชื ืช ืืืฉืชืืฉ ืฉืืืื ืืืืืืืช ืขื ืืืฆืืข -ืืจืขืืื
Exfiltration ืืืืฆืขืืชDNS ืื, ืื ืืฉืชืืฉ ืืืื ืืงืืืช ืืืฆืืจ ืคืืจืื ืืฉืื ืืงืืืื .
ื ืืืฉืช ืืืชืื ืื ืืกืคืงืชื ืืกืืื ืืช ืืืืืื ืื, ืืคืืื ืืืื ืืืขืช ืืืชืื ืงืื. ืืืจืื ืืฆืขืจ, ืขื ืืืืข
ืคืฉืื ืฉืืืืข ืื ืฆื ืืช ืืคืืฆ'ืจืื ืฉืืกืคืงืชื ืืืชืื ืขื ืื(. ืืืจืืช CLIืื ืืืขืจืืช )ืื ืืืฆืชื ืืืชืื ืืื
ืืช ืืงืื ืืืื ืฉืื ืืชื )ืืฉื ืืืจ ืฉืื ื ืื ืืืืื, ืืืชืื ืฉืืขืชืื ืื ื ืืกืืื ืืช ืืคืืชืื, ืืืขืื ืืืชื.
. ืืขืืื ืืืืืืื ืฉืืืขืืื( ื ืืชื ืืืฆืื
?Domain Name Systemืื ืื
ืืื ืืขืจืืช ืืืืืจืช DNSืืขืจืืช -ืืฉืืข ืฉืืจืืช DNSืื ืืืืชื ืฆืจืื ืืกืื ืืช ืืืืืช ืฉื ืืขืจืืช
ืืืืจืจืืืช ืฉื ืืืฉืืื, ืฉืชืคืงืืื ืืงืืืงืืืื ืืื ืืขืงืื, ืืฉืืื ืืืืืืืจ ืฉืืืช ืืืชืืืืช ืืื ืืจื ื
DNSืืช ืืืืืื(. ืื ืื ื, ืืฆืจืื ืื, ืืงืืงืื ืืืขืจืืืช )ืืืืืขืืช ืืชืืจ ืืชืื
)ืืื IP"( ืืืชืืืืช example.comืืื ืฉื ืืื ืืืืืจ ืืชืืืืช ืจืฉืช )ืืื "
ืืื ืืชืจ ืฉื ืจืฆื IP"(. ืื, ืื ื ืฆืืจื ืืฉื ื ืืชืืืืช 81.391.232.11"
ืืืืื ืก ืืืื. ืืชื ืขืกืง ืฆืจืืืื ืืืืืืจ ืืชืืืืช ืืืืืื ืืืืง ืืืืืชืื
ืฉืืื ืืืฆืืช "ืืขืื ืืืืข: ืืฉื ืืืชืจ ืฉืื ื ืฉืืื )ืื ืื ืืคืฉืจ ืืฉืื ืขื
DNS"(. ืืคืชืื ืฉืืจืืชืื ืืืืืืืืื ืืงืืงืื ืืืขืจืืืช 81.391.232.11
ืืฉืืื ืืืฆืข ืืืืื ืขืืืกืื ืืื ืืกืคืจ ืฉืจืชืื.
ืืืช ืื ืืฆื ืขืืื ื ืืื ืฉื ืืช ืืฉืืื ืื ืืืืงืืืืช ืืืื DNS-ื ืคืจืืืืงืื
, 3891ืืฉื ืช Paul Mockapetrisืข"ื ืืืฆืขื ืืืงืืจืืช ืืคืจืืืืงืื ื ืืชืื ื ื. ืื ืฉื ืืืื ืืจืืืืื ื ืืื
ืฉื ืื(. ืืืขืจืืช ืขืืจื ืฉืื ืืืื 11ืืกืืืื ืฉืื ืื ืืืชืจ ืืืืง, ืืืืจื 22) RFCืืกืืื ืืืืืืจื ืืืกืคืจ
ืืืืจืืช, -(" ืฉืืืฉื ืืืจืื IETF) ืืืื ืืจื ื ืฉื ืืื ืืกื ืืืฉืืื ืืืืจืืื, ืืืฉืจ ืืจืืฉ ืืขืืื ืื ืฉื "
ืืขืืืืช ืืชืืืืืช ืืืืืจ.
ืืืขืจืืช, ืืขืฉื ืฉืื ืืืื ืืืจืืชืืื ืืืื, ืื ืฉืืจืืืช ืืืืฉืืจืื ืืืืืจืืช ืื ืืกืื ืฉื ืืชื ืืืกืืฃ ื ืืื
ืืืื ืืืกืชืื ืืืืชืืื ืืช ืขืฆืื ืืืืจื ืืื.
[ Team Fortress 2ืืงืืจ:]
![Page 36: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/36.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
36 2021 ืืืืืกื ,132ืืืืื
ืฉื ืืืช( ืืช ืื ืืชืืืื ืืืืจืื ืฉื 2-ืืง' )ื 2-" ืฉืืกืืืจ ืDNS Made Easy Videosืืฉ ืกืจืืื ื ืืืจ ืฉื "
:DNS, ืืืืงืฉื ืฉื ืืืืฉื ืืขื ืืงืืืช ืชืฉืืื ืืฉืจืช DNSืืื ืขืืื ืคืจืืืืงืื
DNS Explained | DNS Made Easy Videos
ืฉืืืจืื DNS". ืืืืืจ ืืฉืจืช NameServer"-ืืืืง ืืืฉืื ืืคืจืืืืงืื ืฉืืขื ืืื ืืืชื ื ืืื ืชืคืงืืื ืฉื ื
ืืื ืืช ืืืืืชืืืช ืืขืืจืขืจืช ืืชืช ืชืฉืืืืช ื -(, ืืืืืชื ืืืืจ ืืื ืืกืืืืช ืืืืชืZoneืขื ืืืืจ ืืกืืื )
ืฉืืืืืง DNS-(. ืืืืืื, ืฉืจืช ืauthoritative answers -ืืืงืฉืืช ืฉื ืืงืืืืช )ืชืฉืืืืช ืกืืืืชืืืช
-ืืื ืฉืจืช ืกืืืืชื ืฉืืืจืื ืขื ืื ืืืืืื ืฉื ืืืจ ื -" com.ืืชืืื ืืช ืื ืืืืืืื ืื ืฉืืืจืืืื ืขื "
".com ."
ืฉืืืืืจ DNSื ืืกืคืช, ืฉืจืช ืื ืชืฉืืื ืฉืืื ืืืืืจ ืืื ืชืฉืืื ืืืืชืืช ืื ืืื ื, ืืื ืืืขืืช. ืืืืื
" ืืืจืื ืขื ืื ืืงืฉื ืฉืงืฉืืจื ืืืืืืื ืืืชืืืจ google.com( ืฉื "Nameserver)ืงืืฆืืจ ืฉื NSืืฉืจืช
(google.comืืืฉื ื .)-"maps.google.com ืืืฉื, ืชืขืืืจ ืื ืืจื ืืฉืจืช ืืืืจืื ืขื ืื ืืชืืืืช ,"
".com" ืืื ืืจื ืืฉืจืช ืฉื "google.com ืขื ืื ืช ืืงืื ืืชืืืช "IP .ืืขืืงืจืื, ืื ืืื ืืืื ืืงื ืืช ืืืืืงืช
ืืืืืื -ืืืืื ืืฉืืื ืืื ืชืช Nameserverืฉืืฉืืฉ ืืชืืจ DNSืืชืืืช ืืืืืื, ืืืืืืจ ืื ืืชืืืช ืืฉืจืช
ืืืืืื ืืื ืืืืื, ืฉื ืืชื ืืงืืื ืืืขืื.-ืืกืืืข ืื ื ืื ืืืืืืจ ืชืชื NS-ืฉืืืืข ืืืืืื ื. ืืฉืืืืฉ ื
ืืชืืืืช ืืืืืื
ืื ืืฆืืื ืืืชืจืื ืืฉืืจ ืืืชื ืฉืืืืื, ืืืื ืืจื ื ืจืฉืชื ืืชืจ ืฉื ืืืืืื ืฉืืืื ( ืืชืื ืฉื) ืืืืืื
ืืืฉืช ืืฉืืื ืืงืื ืืช ืืืืืข DNSืืขืจืืช ืืืืืืื ืื ืขืืืจืช ืื ื ืืืชืืฆื ืืืืขืช ืืืืื ืฉืจืช .ืืจืฉืช
ืืขืื ืืคืช ืืจื ืืืืืข ืฉืื ืื ื ืืืคืฉืื. -ืฉืื ืื ื ืฆืจืืืื
ืื ืืืคืืคืื ืื ืืืืืืื ืืืื ืฉืืืืืืืืื ืืืฉืชืืฉ ืืืืืืืืืื ืืขื. ืฉืืืชืื ืืืจืืจืื ืืื ืืืืชืื ืืฉื
ืืฉืืืื ืืขื ,ืืืฉื. ืืืืจืื ืืืืงื ืื ืืืืื ืืฉืืืื ืืช ืืืขืืืจ ืื, (Subdomains-)ืืืืืขืื ื
ืืืขื, cloudfront.net ืืืฉื, ืื ืืืคืืฃ ืชืืื ืฉื ืืจืฉืื ืืื ืืื ืืืคืฉืจ" net.ืฉืืืจืื ืขื ืืืชืื "
ืืืคืฉืจ ืื, ืื ืืคืืืืืค ืืชืืื ืืืฉืืืช ืื ืืืฉืชืืฉ ืืืื cloudfront.net ืืืฉื ื ืืชืืื ืืฉื ืืฉืืืื
(.ืขืืฉื ืฉืืื ืื ืื ืืื) ืืื ืืืฉืชืืฉ ืืืืจืื
[ | ITGeared.comHow DNS Works]ืืงืืจ:
![Page 37: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/37.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
37 2021 ืืืืืกื ,132ืืืืื
ืจืืช. ืืคืืืชืช ืืืืืช ืืืืืืช ืืจืืช ืืืฆืืื ืืช, ืื ืงืืืืช ืืืืคืจืืืช, ืจืืืช ืืืกืคืจ ืืืืจืืืืช ืืืจืื ืืืืืื
ืืจืื ืืื( Top Level Domain - TLD ืืืืื ื - ืืืืชืจ ืืืื ืืช ืืจืื) ืืกืืืืช ืื ืืขืืืื ื ืืืชืื
ืืกืื ืืช ืืฉืจืื. il. ืืืงืจื ืฉื ืืืืืื ืืืขืื, ืืืืชืจ ืืืืืืช
ืืืกืืฃ, ืฉื ืืืืืืื ืขืืืจ ืื ื .(co.ืืืืจื ืืกืืจืืช ) ืืืืืจ ืื ืืฆืืื ืช( ืืืืื) ืืืืืฉื ืืืชืื ืจืืช
:Digital Whisperืืืขืช ืืืืื ืืืจื ืืกืืจืืช ืืฉืจืืืืช ืืชืืืื ืื:
Internationalized Domain Name - IDN ืืื ืืืคืฉืจ ืืื ืืืืช ืฉืื ื ืืฉืคื( ืืชืื ืฉื) ืืืืืื ืฉื ืืื(
ืืืื ืืืจืกืืื 3889 ืืฉื ืช ืืื IDNs-ื ืฉื ืืืื ืืืืืื ืคืืชืื. "(comืืจืื.ืืช ืงืืืื ืฉื ืืชืจืื ืืื "
. Punycode-ื ืืื IETF-ื ืืจืืื ืืื ืขื IDNs ืืจืขื ืืกืื ืืจื ืฉืืืกืื ืืงืืืื. ืกืื ืืคืืจ ืฉื
ืืืืื ืืช ืืืื ืืจื ื ืฉื ืืืืืจื ืืืื ืืขืืงืช ืขื ื ืืจืฉ ืืฉืืจืืช ืืงืืื ืืช ืชืืคืก IDNs-ื ืืฉืืืืฉ
.ืืืืกืื ืืืื ืืืช ืฉืืื ื ืืืืชืืืช ืืื ืืื ื ืืชืืช ืืืฉืคื, ืืื ืืืืช ืฉืื ื ืืืงืืืืช ืฉืฉืคืชื
ืืกืืฃ )ืืฆืืจื ืชืืืืืช ืืงืกืืืืืช ืืืืืจ( ืื ืืชื ASCII-ืื ืืชืืจืืืื ื Punycodeืฉืืืช ืืืืืื ืืคืืจืื
".--xnืืืืืช ืืืชื ืืคื ืืชืืืืืช "
[ Seobility Wiki -What is Punycode? Definition and Explanation]ืืงืืจ:
![Page 38: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/38.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
38 2021 ืืืืืกื ,132ืืืืื
ืืืืืจ ืืกืคืจ 1.1.2", ืกืขืืฃ Specification And Implementation - Names Domain: 1035 Rfcืืคื "
ืืืืืืช:
ืฉื ืืืจืื label ืืืื ืืงืืื ืืืืข ืืืจื - ืืืืืืื ืืืื (ืชื ืงืืื ืฉืชื ืืื ืฉื ืืฆื ืืืืืข - ."XXXX )".
ืืืืจืื. ืชืืืื 21 ืขื ืืขืื ืื
ืชืืืื 251 ืืขื ืืขืื ืื ืืืืื ืืืืืข ืืืจื - ืืืืืืืื ื ืฉื ืืืงืกืืืื ืืืจืื.
ืืืื ืืืืืชUDP ืืคืจืืืืงืืDNS ืื ื(-RFC 1035 )- ืืืืื ืฉื ืืืืขืชUDP ืื ืชืืื ืืืืื ื-
.TCPืื ืืชืื. ืืืืื ืืชืืจืื ืืืืืื, ืืืืืขื ืชืืืืฅ ืืขืืืจ ืืจื ืคืจืืืืง 532
ืืกืคืจืืช ืืื ืืืืช ืืืชืืืช ืจืง ืืืืื ืขืฆืื ืืืืืืื -ืืืืืืช ืขื ืืืืชืืืช (1-8A-Za-z ,)ืืืืช ืืืฉืจ
ืืืงืื (--) ืืจืฆืฃ ืคืขืืืื ืืืืคืืข ืืืืื ืืื ื ืื ืืืช ืืื( -) ืืงืฃ ืืื ืืืืื ืืืืชืจืช ืืืืืื
-google' ืืืื) ืืกืืคื ืื( google.com-' ืืืื) ืืืืืื ืืชืืืืช, (Punycode-ืืฉืืืฉื ืืืจืืืขื )ืฉืืืจ ื
.com .)ืืชืงื ื ืฉื ืืืชืจ ืืืงืืืช ืืจืกื ,RFC 952 ,ืืกืคืจืืช ืืืกืชืืื ืืชืืื ืื ืฉืืืืืื ืืืฉืจื ืื ,
)ืขืืงืืื ืขืืืื?(. RFC 1123-ืื ืื ืืฉืชื ื ื
ืืืืจืช ืืืืืข ืืืืขืืจ
ืืื ืืคืืื ืืืืืข ืฉื ืจืฆื ืืืขืืืจ. ืืืืื, DNSืืฉืื ืืจืืฉืื ืืื ืืืช ืฉืืื ืืฉืื ื ืืืขืืจืช ืืืืข ืืจื
ืืืชืืืจืืช ืืขืื ืื ืืืื ื ืืงืฉืืช. ื ืฆืืจื ืืืชืืืื ืขื ืื ืืืืื ืื ืคืจื, ืชืื ืฉืืืจื ืขื ืฉืืืืืืืช
.ืืงืืื ืืืืขืืืจ ืขื ืืฉืืื ืฉืื ื ืื ืืืืข ืืื ืืจืืืืืืืช
ืืืงืฃ | ืืคืชืจืื: ืงืืืื ืืืืข ืืืกืืก ืืืจ A-Z ,1-9ืืืขืื: ืืืืื ืจืง ืืืืชืืืช
ืชืืฉ ืืื )ืื ืืืชืจ ื ืืื, ืืืขืื ืืจืืฉืื ื ืฉื ืจืฆื ืืืชืืืื ืืืชื ืืื ืืขืืืช ืืืืชืืืช ืฉื ืืชื ืืืฉ
ืืืืชืืืช ืฉืื ืื ื ืื ืืืืืื ืืืฉืชืืฉ ืืื(. ืขื ืื ืช ืืืขืืืจ ืื ืกืื ืฉื ืืืืข, ื ืฆืืจื ืืขืจืืช ืฉืชืงืืื
ืื ืืืืข ืืื ืืจื ืืืืชืืืช ืฉื ืืชื ืืืชืืืื ืืืชื. ื ืืื ืืืฆืืจ ืืขืจืืช ืงืืืื ืฉืชืขืฉื ืืืช, ืื ืขืืืื ืืฉ
ืฉื ืขืืืจ ืขื ืืืืืืืช ืืกืคืฆืืคืืืช ืืฉ ืืืชืจ ืืื ืืืืืืช ืืกืืื ืืืืช ืืืืช, ืืืืชืื -ืืขืื ืขื ืืืงืฃ
![Page 39: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/39.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
39 2021 ืืืืืกื ,132ืืืืื
-a( ืืืชืืืช 22ืืืืืืช, ) A-Z( ืืืชืืืช 22ืืืื. ืืื, ืืงืืชื ืืช ืืืืืื ืืืืชืจ ืขื ืืืงืฃ, ืืืขืืื ืจืง ืขื )
z ืืืชืืืช(: 22 -)ืกื"ื 1-8( ืกืคืจืืช 31)-ืงืื ืืช ื
ื ืฆื ืืช ืื ืืืืชืืืช ืืืืชืจืืช ืืืชืืืช ืืืืืื )ืืืขื ืืืงืฃ(. ืื , ืืBase62ืืงืืืื ืขื ืื, ืืฉืชืืฉืชื
ืคืืชืจ ืืช ืืืขืื ืืืชืืืจืช, ืืืืคืฉืจ ืื ื ืืืขืืืจ ืื ืกืื ืฉื ืืืืข ืฉืืขืืืจ ืืช ืืืื ืืงืืืื ืืืชืืืจ.
. ืืืืืจ, ืขื ืื ืช 34%-ืืื ืืืืื ืืช ืืืจื ืืืืืข ื -ืขื ืืืช, ืืืกืจืื ืืฉืืขืืชื ืงืืื ืืงืืืื ืืื
ืชืืืื. ื ืืชื ืืืฉื ืืช ืืืืก ืืื ืืืจื ืืืืืข ืืืงืืื ืืืืจื 311ื ืฆืืจื ืืชืื ืืฉืืืช ืืงืืืื, 311ืืืืฆื
)ืื ืืื ืืืช 252ืฉื ืืืกืืกืื ืฉืืื. ืืืืืช ืืืกืืก ืฉื ืืืช ืืื ln-ืืืืืข ืืืืืื ืืคื ืืืืก ืืื ืขืจืื ื
22)ืื ืืื ืืืช ืืฉ ืจืง 22(, ืืืืืืช ืืืกืืก ืืงืืืื ืืืืฉ ืืื 0xFFืขื 0x00-ื :ืืคืฉืจืืืืช 252ืืฉ
ืืคืฉืจืืืืช(:
ln(256)
ln(62)โ 100% = 134.3%
ืืืขืื: ืืื ืืคืขืืื ืื ืขืืื ืืืคืขืืื ืื?
pingืืืขืจืืืช ืืื ืืงืก. ืื digืืขื Windowsืืืขืจืืืช nslookupืืฉืืืืฉ ืืงืืืื ืืื ืขืืื ืืืื ืขื
ืืืชืืืืช ืืืจืืฉืืช. ืขื ืืืช, ืืืคืชืขืชื ืืืืืช DNS)ืืฉืชื ืืขืจืืืช ืืืคืขืื( ืืฆืืื ืืืืฆืื ืืงืฉืืช
)ืืืืืจืช ืขื ืขืฆืื ืืกืคืจ ืคืขืืื(. RFC-ืืจืืฉื ืฉืงืืืืช ืืชืื ืืื ืืืกืืื ืืฉืื ืืื ื ืืืืืื
![Page 40: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/40.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
41 2021 ืืืืืกื ,132ืืืืื
":Clarification Insensitivity Case DNS: RFC4343ืืชืื "
" ืืืืืื ืื. ืืกืืื Google.com" ,"google.com" ,"GooGlE.coMืืืืืจื, ืื ืืืืจ ืืืืืช ืืืื ืืื "
ืืื ืืืฉืคืข ืืืืชืืืช ืืืืืืช ืื Case-insensitiveืืืืจ ืืืืืช DNSืืืืืื ืืช ืืื ืืื ืื ืคืจืืืืงืื
)ืืืชืืืช lowercase-ืืืจืช ืื ืืืืืืื ื -ืืืจืฉ ืืืฆืข ืืืื ืฉื "ื ืืจืืืืืฆืื" RFC4343ืงืื ืืช.
ืืื ืืช ืืืื ืืื ื ืื ืืืฆืขืืช ืืช ืื ืืจืืืืืฆืื, ืืืืืืช ืืืคืืืช ืืงืื ืืช, ืืกืคืจืืช ื ืฉืืจืืช ืืื ืฉืื ืื(. ืืช
ืืื ืืฉ ืกืืืื ืืืื ืืืื ืฉืืจืฉืช ืืจืืื ืืช ืฉืืืืืจืช ืืืื ืื ืืชืืฆืข ืืืื ืืื. ืขื ืื, ื ืฆืืจื ืืืืืืจ
ืืืืฉ ืืช ืืงืืืื ืฉืื ื, ืืฆืืจื ืฉืชืขืืืจ ืืช ืืืขืจืืช ืืื.
1-8( ืกืคืจืืช 31)-ืืงืื ืืช a-z( ืืืชืืืช 22)-ื ืืฆืืจ ืืช ืืงืืืื ืืืืฉ. ืืขืช, ืืงืืืื ืืฆืืจื ืืืืืช ืืืจืื ื
ืืืชืืืช(: 12 -)ืกื"ื
, ืืฉืจ ืื ืฆืืช ืืช ืื ืืืืชืืืช Base36 -ืืืชืืืช, ื ืงืื ืืช ืฉืืืช ืืงืืืื ืืืืฉื ืฉืื ื 22ืขื ืืืชืืจ ืขื
ืืืืชืจืืช ืืืชืืืช ืืืืืื )ืืืฅ ืืืงืฃ(, ืืฉืชืขืืืจ ืืขืจืืืช ืฉืขืืฉืืช ื ืืจืืืืืฆืื ืืืืืืื. ืืขืืืช ืฉืืืช
ืืขืืืช ืืืืืข ืืืื ืืจื 61%-ืืืืื ืืืืข, ืืืืืจื ืื 35%-ืืงืืืื ืืงืืืืช, ืืืืืจ ืืืืืื ื
.ืืืงืืจื
ืืืืืืช ืืืืืืจ ืืขืฆืื ื ืืช ืฉืืืช ืืงืืืื ืืฉืืื ืื ืืืื ืืคืจืืืงื ืืื, ืืขื ืื ืืชืืชื ืืกืคืจืืื ืืืืงื
" ืฉื ืืชื ืช ืืืฉืชืืฉ ืฉืืืื ืืืื ืขื ืืฆืืจืช ืื ืงืืืื, ืืื ืืกืืก ืืืื ืืืจื. ืืชืื ืืืื Alphabetืืฉื "
, ืืฉืชืืฉ ืืืื ืืืืืืจ ืืืื ืืืชืืืช ืืื ืจืืฆื ืืฉืืืช ืืงืืืื ืฉืื ืืืืืื ืกืืจ )ืขื DNSExfilืฉืื,
ืฉืชืืืจ ืืืขืื )ืขืืืจ ืืื ืฉืืขืืื ืขื Base62ืืคืฉืจืืช ืืืงืจืืืืช(. ืื, ืืืื ื ืืชื ืืขืืื ืื ืขื ืงืืืื
nslookup ืืdig ืื ืขื ืงืืืื ,)Base36 ืขื ืืขืจืืืช ืฉืืืฆืขืืช ื ืืจืืืืืฆืื( ืืื )ืขืืืจ ืืื ืฉืืชืืืืืื
![Page 41: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/41.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
41 2021 ืืืืืกื ,132ืืืืื
ืขื ืื ืงืืืื ืืืจ ืฉืชืจืฆื )ืืืื ืฉืื ืื ืกืืจ ืืืืชืืืช ืืืืคื ืืงืจืื(. ืืืขืจืืช ืืืืื ืืืฆืขื ืืื ื ืฉืืืืขืื
ืืืชืจืืข ืืฉืชืืฉืื ืฉืื ืกื ืืืฉืชืืฉ ืืงืืืื ืื ืชืงืื )ืืื ืืืฉืชืืฉ ืืืืชื ืืืช ืคืขืืืื(.
Bitcoin-ืืขืชืืงืื ื - Base32-ื Base58ืืื ืืก: ืงืืืื
Satoshi Nakamotoื ืื ืืฆื ืื ืืืชืืื ื ืืงืื ืืงืืจ ืฉื ืคืจืืืงื ืฉืืชืื ืงืืืฆืช ื.ื ืฉืื ืฉื ืงืจืืื ืืคื ื ืื
( base58.h. ืืงืืืฅ ืกืคืฆืืคื )ืืงืื ืืืงืืจ ืฉื ืืืืืข ืืืืืืจ ืืืืงืืืืื ื ืืชืืืื, ืืืืื, - 2118ืืฉื ืช
ืืืืืข, Base64ืืืงืื ืืงืืืื Base58ืืืฆืื ืืขืจื ืฉืืกืืืจื ืืื ืื ืืืืืื ืืืฉืชืืฉ ืืงืืืื ื ืืชื
" ืืืื ืืืืืืืช ืืืืืืืืืืช ืฉืื ืืงืืื ืื ืืืืข ืืื ืืจื ืืืฉืืืืฉ ืื ืจืื ASCII Armorืฉืงืืื ืืช ืืฉื "
ืื:
ืืื ืืื ืืืชืจ )ืืฉืืื ืืืืงืืื(: Base58-ืื ืืขืื ืืกืคืจ ืืขื ืืช ืืืืื ืืืช ืืื ืฉืืืืฉ ื
ืืฉืชืืฉืื ืืืืืื ืืืขืืืจ ืืืืขืืช ืืืืงืืื ืื ืืื ืืืืฆืขืืช ืฉืืืืฉ ืืืจื ืงื - ืืืืช ืืืืืืืืชื
ืืืชืืืช(, ืืืชืืืช ืืืจื ืง ืขืฆืื ืืืืื 22-15ืืืืจื Base58-ืืืืงืืื )ืฉืืืชืืืช ืฉืืื ืืงืืืืืช ื
$ ืืืืืงืืื, 311ืืขืืืจ ืืื ืืฆืืืื ืืืืฆืขืื ืืืืืืืืื ืืคืืืืื ืืืื. ืื ืืืืก ืจืืฆื ืฉืืื ืืขืืืจ ืื
ืืื ืืืืื ืืฉืืื ืื ืืช ืืชืืืช ืืืจื ืง ืฉืื ืืืืฆืขืืช ืืืื, ืืืืขืืช ืืืืืฆืืค, ืื ืืืฃ ืืืืคืก )ืื
ืื ืคืืฅ ืฉืืืชื ืืชืื ืืืืืจ ืืื( ืืืื ืงืฉื Arialืืืชืื ืืืชื ืืื(. ืืืืง ืื ืืคืื ืืื )ืืื ืืคืื ื
ืืื ืืืกื ืืช ืืื ื ืืฉืชืืฉ ืืื ืืืืชืืืช ืืืื, Base58'. ืืื, ืงืืืื O'-', ืI' ,'l' ,'1ืืืื ืืืืืื ืืื '
ืกืจืืฃ ืืืืืื -ืคืื ืืื ืืกืื ืกื ืก - Arialืืืืืื ืื ืคืืฅ )ืื ืื ืืื ืืืขื ืืืืช(. ืืื ืื ืจืง ืืฆื
ืื ืืฉืืืืฉ ืืื ืื ืื ืขื ืืืืืืช ืืืืืืช ืฉืื ื ืืืืืช ืืืืื ืฉืืืืช ืืืืืช ืืืื ืืืืืืื ืืืืืืืืช
ืชืื ืื ืืฉืชืืฉืื )ืืืงืื ืืืื ืืืชืืืช ืืจืื ืืื ืืจื ืงื ืืืืงืืื(. ืืืช ืื ืืืช ืืกืืืืช ืืื ืืชืื
ืกืจืืฃ, ืื ืงืื ืื ืืืื ืืืืืช ืืืืื ื ืืืื ื ืืืืืืื ืฉืื, ืืื ืืืื ืืืืืช ืืฉืื ืฉืื ืื ื -ืืคืื ืืื ืกื ืก
ืืืช )ืืื ืืืืืช ืฉืืืืืช ืืชืื ืืื ืืืชืจ(. -ืืืจ-ืงืืจืืื ืืืงืฉื ืืืช, ืืื ืืืช
!ืื ืืกืฃ ืืืืชืืืช -ืืืชืืืช ืฉืื ืื ืืืคืื ืืืจืืืช = ืคืืืกืA-Z ืืืืืืช ืืงืื ืืช, ืงืืืืBase64 ืืืื
' ืืืช '=', ืฉืืืืืื ืืืืืช ืืขืืืชืืื. ืื ืื ืคืฉืื ืืืฆืข ืืืืงืช ืงืื ืืืืชืืืช ืืืื. ืืืชืจ \ืื ืืช '+', '
Blockchain.com ื ืืชื ืืจืืืช ืืช ืืืืืข ืขื ืื ืืชืืืช ืืืืงืืื ืืืืฆืขืืช ืืื ืกืชื ืืงืืฉืืจ ืืฆืืจื ,
ืืืื:
![Page 42: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/42.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
42 2021 ืืืืืกื ,132ืืืืื
ืืฉืืฉ \ื ืืืืชื ืืจื )ืื , ืืงืืฉืืจ ืืื ืื ืืื ืืืื\ืื ืืชืืืืช ืืืืงืืื ืืื ืืขืจืืืช ืืช ืืืืช
(. ืื ืืื ืืืคื ืืงืฉื ืืฉืืขืืชืืช ืืืืฆืื ืืคืืขื ืืขืจืืช URL-ืืืคืจืื ืืื ืฉื ื ืืืงืื ืฉืื ืื ื
" ืืื ืืืืืง ืื ืฉืขืฉื !Keep it Stupid Simpleืืื ืคืฉืื: " KISSืงืืฉืืจืื ืืื ืืืืช ืืืืช. ืขืงืจืื
ืชืืช, ืืืืฆืื ืืืืคืืจ ืืื ืืืช ืฉืขืืืื ืืืืืช ืืขืื -ืืืืื ืืืฉืืื ืืืืืจื ืืชืืืืช ืืืจื ืง
ืืืืจืื ืืคืฉืืืื ืฉืขืืืืื )ืืืชืืืช ืืืกืคืจืื ืืืื(.
ืื ืฉืื ืืขืืื ืืชืืืงืื ืืฉืืืฉ: ืืื ืฉืืกืื ืื ืืงืกื - ืืืืฆื ืืคืืื ืขื ืืขืืืจ ืฆืจืืื ืืกืื ืืื
ืงืืืง ืืื ืืกืื -ืขื ืืื ืืืืงืช ืืืคืชืืจ ืืฉืืืื ืืืจืืจืช ืืขืืืจ )ืืื ืืื ืืืืจ!(, ืืื ืฉืืืืฆืื ืืืื
ืขื ืืงืฉื ืืืงืืืช ืืื ืืกืื ืื ืืงืกื Ctrl-ื Shift-ืชืืฉืื ืืืืง ืืืืงืกื )ืืืงืื( ืืืื ืฉืืฉ
(super-ultra-meta-pro ืืฉืื ืืืืข ืืืขืืจืช ืืกืคืื, ืืืืฆืจืื ืฉื ืืืืงืืื ืจืืฆืื ืืืืื ืฉื ืขืชืืง ืืช .)
ืื ืืชืืืช ืืืจื ืง. ืื ืื ืืขืื ืืกืื ืืจืืฉืื ืฉื ืืื ืฉืื )ืฉืืืงื ืืื ืืฉืืขืืชืืช ืืจืื ืืื, ืื
ืื ืืจืืื ืืกืืฃ(, ืืื ืืขืื ืืกืื ืืืืจืื ืฉื ืืื ืฉืื )ืฉืืืืคื ืื ืจืื ืืขืชืืงืื ืื ืืช ืืจืืืช ืืฉืืจื
ืงืืืง ืขื -ืืืื -(. ืืืื, ืืืช ืื ืืขืื ืืกืื ืืืืฆืขื ืฉื ืืื ืฉืื Shiftืืกืื ืื ืืงืกื ืขื ืืืืจืืจื
ืืงืกื ืืกืื ืืืื ืืืช )ืืืืืจ, ืืื ืืืคืฉ ืืฉื ื ืืฆืืืื ืจืืืืื ืื ืชืืืื ืฉืืื ื ืืืชืืืช ืื ืืกืคืจืื
ืงืืืง ืขื ืืขืืืจ ืื ืืืืชื -ืืืงืืื ืืื ืืืืืืช ืกืืื ื ืคืืกืืง, ืืืืืืืกืื ืขื ืืืืื(. ืื ืืชืืืืช ื
' ืื '='(. \ืืื '+', ' Base64-ืืกืื ืช ืืช ืื ืืืชืืืช ืืื ืจืง ืขื ืืกืืื ืืืืืื )ืฉืื ืืื ืืืืืจ ื
ืืืืชืจ ืขื ืืกืืื ืื ืืืืืืืื. -ืื ืืคืชืจืื ืืืชืืงืฉ
ืืืกืืก ืืื, ืฉืืื ื ื ืืชืื ืืกืคืจ ืืจืกืืืช. Base32ืืืืคื ืืืื, ื ืืชื ืืืืื ืืช ืืืชื ืขืงืจืื ืืช ืขื
(. ืืืืื human-readableืืฉืชืืฉืืช ืืืืชื ืืืชืืืช ืืืืืืืช ืืื ืขื ืงืจืืืืช ืืืื ืืืชืจ ืืขืื ืื ืืฉืืช )
'. ืกืืจ ืืืืชืืืช 2'-' ืvืงืื ืl( 'L ' ,)ืื ืื ืืืืื ืืช ' 8-ื 9, 3, ืฉืืืืื ืืช ืืืืชืืืช z-base-32ืืื ืืื
ืื ืฉืื ื, ืืื ืฉืืืชืืืช ืฉืงื ืืืชืจ ืืืืืื ืืื ืืื ืืืคืืขื ืืชืืืจืืช ืืืืื ืืืชืจ ืืืืจืืช. ืื ืืงื
ืืฉืืขืืชืืช ืขื ืืฉืชืืฉ ืืืขืชืืง ืคืืืืช ืืืจืืืช ืืงืืืืช ืืืกืืก ืืื ืืืืืืง ืฉืืื ืืชื ืืืช ืืื
ืฉืืืืืช.
12ืืฉืชืืฉื ืืืกืคืจืื ืฉืงืืืื ืืืกืืก Nintendoืฉื ืืืจืช 81-: ืืกืคืจ ืืฉืืงืื ืืฉื ืืช ืืืื ืืก ืืืื ืืก
. ืืืฆืจื ืืช ืืืคื ืืช ืืืืืื ืืืืจืื ืืืืืจืช ืืงืืืื ืืช NESืืชืืจ ืกืืกืืืืช ืืชืื ืืืฉืืงืื ืืงืื ืกืืืืช
(, ืืื ืืื ืืข ืืืกืืกืืืืช ืืืงืืืืืช ืฉืืืฆืืืช ืืืืื ืงืืืืช ืืื ืืืืช. ืื AEIOUืื ืืืชืืืช ืืชื ืืขื )
ืืื ืืื ืฉืืื ืฆืจืื ืืงืืืื...
ื ืื ืจืืื ืกืืื ืืื ื ืืืืช ืืืืืืืืืช ืืฉืืื ืืืืืื, ืื ืฉืื ืื ื ืืืืืื ืืืฉืืืจ ืืฆืืจื ืืคืจืืืงื ืฉืื ื ืื
ืืช ืืืืชืืืช ืืืืืืืืช. ืขื ืืืช, ืื ืชืืืืื ืืืขืืืจ ืืช ืืชืืืืช ืืืืืืื ืืืจื ืืืจืช ืฉืืืืืช ืฉืืชืื
Base32ืื Base58ืืื ื )ืื ืืืืข ืืื ืฉืชืขืฉื ืืช ืื ืืื ืืืงืื(, ืืืื ืื ืชืฉืงืื ืืืฉืชืืฉ ืืงืืืื
ืืฉืืื ืื.
![Page 43: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/43.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
43 2021 ืืืืืกื ,132ืืืืื
ืืืื? label-ืืืขืื: ืืื ืืืืขืื ืืื ืืืืข ื ืื ืก ื
ืืืืืื. ืืืืืจ, labels-ืืขืื ื ืืกืคืช ืฉืขืืชื ืืชืื ืื ืืงืืืื ืืื ืฉืืืช ืืืืืงื ืฉื ืืืืืข ืืืงืืื ื
ืชืืืื, ืืืชืืืืชื ืืื ืฉืชื ืืจืืื ืืืืง ืืช ืืืืืข: ืงืืืื ืืืืืงื ืื 21ืืืืจ ืืืืืช ืขื labelืืืจืื ืฉื
21)ืงืืืื ืืืืืงื( ืชืงืืื ืืช ืื ืืืืืข ืืจืง ืื ืชืืืง ืืืชื ืืงืืืฆืืช ืฉื ืืืืงื ืืงืืืื. ืืืจื ืืจืืฉืื ื
ืืืื ืืื ืงืืืื ืืืืืืื, ืืืื ืื ื ืืชื ืืชืจืื ืืช ืืืืืข ืืื ืืืกืืฃ labelืชืืืื )ืืืฉืจ ืืื ืืืืื ืฉืื
ืื ืืืืืข ืงืืื(. ืืืจื ืืฉื ืืื )ืืืืงื ืืงืืืื( ืืืจืฉืช ืืืฆืื ืืื ืืชืื ื ืืชื ืืงืืื ืขื ืืงืืืช ืืืืข
ืชืืืื, ืืงืืื ืืช ืืืืง ืืื ืฉื ืืืืืขื ืืจืง ืื ืืืื ืืก ืืืชื ืืืชืืืช ืืืืืืื ืฉื ืจืืื. 21ืืจื ืืงืืื ืื
ืืืจืชื ืืกืืฃ ืืฉืืื ืืฉื ืืื )ืืืืงื ืืงืืืื(, ืืขืืงืจ ืืฉืืื ืืืืืืช ืฉืื ืืฉืืืจ ืืืงืื ืืืืืืขื )ืืื
ืื ืืืื ืืช ืืืื ืื ืื ืงืืืืชื ืืช ืืืื(.
ื ืืืชืืืช ืื ื ืืืื ืืงืืื ืขื ืฉืืืจื ืืืืืข ืืคืชืจืื ืืจืืฉืื ืฉืื ืืื ืืืฉืชืืฉ ืืืืืื, ืืืืืง ืื
)ืืื ืืืจืื ืืื ื(. ืืืืจ ืืื, ืืืืชื ืืงืืื ืจืง ืืช ืืืชื ืืืชืืืช, ืืืกืืฃ ืืืชื 21ืืืงืืื ืืืืข ืืืืจื
ืืืืืืื ืืืกืืจ ืืืชื ืืืืืืขื. ืืืื ืืืง ืืืงืื ืฉืืชืืจ ืืช ืืืืื:
ืจ ืืช ืืืจื ืืืืืืื ืฉืื domain_lenืฉืืืจ ืืชืืื ืืช ืืืืืข ืฉืืฉ ืืงืืื. ืืฉืชื ื messageืืฉืชื ื
ืชืืืื, ืืฆืืชื ืื ืืื ืืืืืื 251ืืกืืคื. ืืืจืืช ืฉืืชืืชื ืืืขืื ืฉืืืจื ืืืืืื ืืืื ืืืืืข ืืืงืกืืืื ืฉื
ืื ืืฉ - label-ืชืืืื ืืืกืคืง ืืจืืื ืืืืืื. ืืฉืื ืืจืืฉืื ืืื ืืฆืืืช ืืืืจื ืืืคืฉืจื ื 251-ืืช ืขืฆืื ื
21-ืช, ืื ื ืฉืืจ ืืืืจื ืืืืืืื ืคืืืช ืืชืืืื. ืืืจ 21ืืกืคืืง ืืงืื ืืื ืืืืืืื, ืื ื ืืชื ืืืื ืืก ืขื
ืชืืืื. 251ืชืืืื, ื ืืื ืืช ืืืืช ืืืงืื ืฉืื ืืืจืื ืืืชืืืช ืืืืืืื ืืืจืื ืืืืืจื ืฉื
)ืืืช ืจืืฉืื, ืฉื ื ืืชืื ืจืืฉืื ืื, ืฉืืืฉื messageืืืืจ ืืื, ื ืืืืง ืื ืคืขื ืจืฆืฃ ืืืืจื ืฉืื ื ืืชืื
ืืืชืืืช ืจืืฉืื ืืช ืืืืืืขื ืืืืข nืื ืืชืื ืจืืฉืื ืื ืืื ืืืื( ืื ืงืืื ืืช ืืจืฆืฃ. ืื ืืืจื ืืจืฆืฃ ืฉืื
(. ืืืืจ ืืื, ื ืืกืืฃ ืืืชื ืืืืืืื )ืื ืืืคืืข breakืชืืืื ืืฉืืื ืืงืืื, ื ืคืกืืง ืืช ืืืืืื ) 21ืืืืจื
ืืงืืข ืืงืื( ืื ืงืฆืจ ืืช ืืืืืขื ืืืืชืืื )ื ืืจืื ืืช ืืืืชืืืช ืฉืืืจ ืงืืืื ื ืืืืกืคื ื ืืืืืืื(.
. ืื ืืื ื ืืืจ ืืฉืืชื ืกืืชื ืขื ืงืืืื ืฉื ืืืืขืืช ืืืจืขืืื ืจืข ืืืืจืขืืื ืืื ืืื ื ื ืจืื ืืืืืืื, ืื ืืื
21-ืืืจ ืฉืืื ื( ืืืชืจ ื i7ืืฆืืจืช ืืชืืืืช ืืืืืืื ืืงืื )ืขื ืืืฉื ืขื -ืืืชืืืช ืืืขืื 3111ืืืืจื
ืฉื ืืืช! ืืืช ืื ืืืืช ืืื ืืืืืืืืช ืืืืื ืงืืืื ืืื ืคืฉืื. ืืืืช ืืืืืจืฆืืืช ืฉื ืขืฉื ืืื ืืืืืืช ืืืฉ
ืฆืืจื ืืืืฃ ืืืฆืื ืฉืืื ืืืจืช.
![Page 44: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/44.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
44 2021 ืืืืืกื ,132ืืืืื
ืื ืืืงื ืคื ืืช ืืืื? ืืืืื ืืงืืื ืื ืคืขื ืืืืช ืืืฉืื ืฉื ืืืชืืืช ืืฉืืื ืืืฆืื ืืช ืืืืจื ืืืงืื,
)ืืืจื ืืืืจ ืงืืืื: Base36-ืืืชืืืช ืืืืืืช ืืืืื ืก ืืฉืื ืืงืืืืืช ื 11ืืืงืืื ืืืชืืื. ืื ืืืืืื
11-ืืืืชืืืช( ืื ืืงืื ืืืืืง ืืช ืืืืช ืืจืืฉืื ื, ืฉืชื ืืืชืืืช ืจืืฉืื ืืช, ืฉืืืฉ ืืืชืืืช ืจืืฉืื ืืช ืขื 22
ืคืขืืื ืืชืืฆืข ืงืืืื ืขื ืืืืขื ืืืงืจื ืืงืฆื(, ืืืกืืฃ ืืื ืืขืฉื ืืช 11ืืืชืืืช ืจืืฉืื ืืช )ืืืืืจ
ืืืืชืืืช ืืจืืฉืื ืืช ืฉืื ืืืืกืืฃ ืืืชื ืืืืืืื. 11-ืืงืืืื ื
ืื ืืจืื. ืืืืช ืืคืขืืื ืฉืืืฆืข - Base36-ืคืขืืื ืงืจืืื ืืงืื ืืงืืืื ื 3111ืืืชืืืช ืืฉ ืคื 3111ืขืืืจ
ืง ืขื ืืืืฉื. ืืฉืื ืืื ืืื ืชื ืฉืื ืฉืื ื ืฆืจืื ืื ืืืขืช ืืช ืืืืก ืืื ืืืื ืืงืืืื ืืื ืื ืฉืืขื
ืฉื ืืืกืืกืื ืขืืจื ืื ื ืืืืื ln-ืืืจื ืืืืขื ืืงืืืืช ืืืืจื ืืืืขื ืจืืืื. ืืฉืืื ืฉื ืืืืืงื ืืื ื
ืืื ืืืืข ืืชืืืกืฃ, ืื ื ืืื ืืืฉืชืืฉ ืื ืืื ืืฉืขืจ ืืช ืืืจื ืืืืืขื ืืจืืืื ืืืื ืชื ืืืจื ืืืืขื
ืืงืืืืช:
๐๐๐๐๐กโ๐๐ฆ๐ก๐๐ = โ๐๐๐๐๐กโ๐๐๐ โ ln(36)
ln(256)โ
ืืืืืขื ืืงืืืืช. ื ืขืื ืืืคื ืืื ืืื ืื ืืืกืชืื 21%ืืขืช, ืื ืื ื ืืืืขืื ืฉืืืจื ืืืืืขื ืืจืืืื ืืื
ืืืืืงืืช ืืขืืืช ืืงืื ืืืฉื )ืืืื ืืขืื x500ืืืจืืื. ืืงืื ืืืืฉ ืฉืืฉืชืืฉ ืืืชืืืืงื ืืืฆื ืืขืื ืคื
ืืฉืืขืืชืืช ืืื ืืืื ื(:
( ืฉืืืฉืืช ืืช ืืืจื ืืืืืข ืฉื ืืชื ืืงืืื O(1)ืืงืื ืืงืืื ืืชืืืคื ืืฉืืจืช ืงืื ืืืืื ) for-ืืืืืืช
ืืืื. ืืขืช, ื ืืชื ืืงืืื ืืช ืืืืืข ืืฉืืขืืชืืช ืืืจ ืืืชืจ. label-ื
ืืืขืื: ืืืืื ืขื ืืืจื ืืืืืื ืืงืกืืืื | ืืคืชืจืื: ืืืืืง ืืืกืคืจ ืืชืืืืช ืืืืืื
ืืืชืืืช, ืืื ื ืืื ืืฉืืื 251-ื, ืืงืืืืช ืืืืื ืืืืื ืฉืื ื ืืชื ืืืฉืชืืฉ ืืืืจื ืืืืืื ืืืชื ืืืื
ืืจืื ืืืืข? ืืคืชืจืื ืืืชืืงืฉ ืืื ืืืืง ืืช ืืืืืข ืืืืืืื ืื ืฉืื ืื. ืชืืืื ืฉื ืคืืฆืื
(Fragmentation ืืื ืื ืืืจ ืืจ ืืจืฉืชืืช. ืื ืคืจืืืืงืื )IP ืืื ืคืจืืืืงืืTCP ืืืฆืขืื ืชืืืืื ืคืืฆืื
MSS-ื MTUืืช ืืืืื ืืกืืื )ืืืืืืจืื ืืชืืจ ( ืชืืื ืืชPDUืืฉืืื ืขื ืื ืช ืฉืืืื ืื ืืืืืช ืืืืข )
![Page 45: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/45.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
45 2021 ืืืืืกื ,132ืืืืื
-)ืฉืืืืืจ ื MTU-ืืชืื. ืืืื ืฉืื ืืืชืจ ืื 1511ืืืชืืื(. ื ืชืืื ื ืขื ืืืื ืฉืืืืช ืืืืข ืืืืื
ืชืืืืฅ ืืคืจืง ืืช ืขืฆืื ืืืืืืืช ืืืืืช: IP(, ืืืืืช 3511
ืื ืืืืข, ืืื ืฉืื-ืืืืจ ืืืฉืืชืฃ ืืื ืืคืจืืืืงืืืื ืฉืขืืฉืื ืืืืงื ืืชืชื - ืืกืคืืจ ืืืืงืื ืืืืงืื
ืืื ืืกืคืจ ืฉืืชืืจ ืืช IPืืคืจืืืืงืื Fragment offsetืืืืืช ืืืืข. ืฉืื -ืฉืืืจืื ืขื ืืกืคืืจ ืฉื ืื ืชืช
ืืจืืฉืื ืืชืืื fragment-ืืืงืฉืจ ืฉื ืืืืืขื ืืืืืืช. ืืืืืื, ื fragmentืืืงืื ืืืืืข ืฉื ืื
( ืขื ืืงืื x 8 = 1480 395) 3191ืืฉื ื ืืชืืื ืืืงืื fragment-, ื3118( ืขื ืืงืื x 8 = 0 1) 1ืืืงืื
ืื ื ืืชื ืช ืื ื ืืกืคืืจ ืืื -ืืื ืฉืืืช ืืกืคืืจ ืฉืืฉืืื ืฉื ื ืฆืืคืืจืื ืืืื ืืืช offset-. ืฉืืืช ื2118
ืืชืืจ ืืฆืืจื ืคืฉืืื ืืช ืืืืืจืืชื RFC815ื ืืชื ืช ืื ื ืืช ืืืืงืื ืฉื ืืืืง ืืืงืฉืจ ืฉื ืืื ืืืืืข.
ืืฉืืืง ืืืฉ ืืืืข, ืืื ืื ืืืื ืืืจ. ื ืืืืง ืื ืืื ืืืกื ืืืืืืื ืืช ืืืืจ, ืืื ืื, ืืืจืืื ืืืืฉ:
ื ืืืง ืืช ืืืืจ ืืจืฉืืืช ืืืืจืื ืฉืืฉ ืืืื. ืืกืืคื ืฉื ืืืจ, ืืืืข ืื ืชืื ืืืืจืื ืืืื ืืืื ืืช ืืืืจ
ืื ืืชืจ. ืืชืืฆืื ืืื ืืืืจ ืืืืจืื ืืืืืง ืืจืฉืืืช ืืืืจืื ืืืฉืืจืฉืืื ืืื ืชืืื ืจืืงื )ืืฉืืื ืืืจืื
ืืืืืข ืืืจืื ืืืฆืืื. -ืืืื(
ืืืืจ ืื ืืกืฃ ืฉื ืืชื ืืฉืื ืื ืืืื ืืืืื ืืืขืื ืืื ืฉืืืืง ืืืืจืื ืืืื ืืช - ืืืืื ืฉื ืืืง ืืืจืื
". ืืจื ืืืืืื ืืช ืืืืง ืืืืจืื ืืฉืืจ ืืืืงืื ืืื ืืฉืื ืืืืชืจ, ืืื More Fragments"-ื 1ืืขืจื
ืฉืืื ื ืืืืื ืืืื, ืื ืฆืืจื ืืืคื ืืืง ืื ืคืฉืื. ืืืืง ืืืขืืืชื ืืื ืืืืื ืืืขืชื ืฉื ืื ืืืืงืื, ืืืจ
ืื. ืืื ืขืจืืื ืฉืืืืง ืืืืจืื ืืืืช ืืืืข ืืืจืื, ืื ืฉืืฉ ืฆืืจื ืืืกืคืจ ืืขืจืืืช ืืฉืืื ืืืืืง ืืชื ืืื
ืืืืข.
ืืืขืจืืช ืฉืื ืืชื, ืืื ืืจื ืืืขืช ืืจืืฉ ืืช ืืืืช ืืืืืข ืฉืืืื ืก ืืืืืืื ืืืื. ืืื, ืืืื ืืืกืคืืจ ืฉื
ืืืืง ืืืืืข 3 -ืืชื ืืืชื ืืื ืืกืคืืจ ืคืฉืื ืืืืืข ืงืืจื ืืืงืืื ืืชืืืื ืืงืืืื. ืืฉืืื ืฉืื
" ืืืืง ืืืืืข ืืืืจืื ืื 1-" ืืืืง ืืืืืข ืืืืจืื. ืืืงืืจ, ืจืฆืืชื "t-1"-ืืืืง ืืืืืข ืืฉื ื ื 2ืืจืืฉืื,
label ืื ืืืื ืืืชืืื ืขื ืืงืฃ, ืื ืฉืืฉืืืืฉ ืืืืช ื ืืกืคืช ืืื ืืืจืื ืคื. ืืืืคื ืืืื, ื ืืชื ืืื
, ืื ืืืจืืืช ืืืืืขืืช ืืฆืืชื IPืช ืืคืจืืืืงืื ืฉืืชืืืจ offset-ืืืฉืชืืฉ ืืฉืืื ืืืื ืืฉืืืช ื
ืคืจืง "ืงืืืื -ืกืคืจืชืืื ืืืจืืข ืกืคืจืชืืื ืืื ืงืืืื ื ืืกืฃ )ืืื ืฉืชืืืจืชื ืืชืช-ืฉืฉืืืืฉ ืืืกืคืจืื ืชืืช
.3-ืืืืข" ืืคืจืง ืืงืืื( ืืืงื ืืืืืฆืข ืืืชืจ ืชืืืื ืืืฉืจ ืืกืคืืจ ืคืฉืื ืฉืืชืืื ื
![Page 46: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/46.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
46 2021 ืืืืืกื ,132ืืืืื
ืืื ื ืืชืืืช ืืืืืื
Main Subdomain - ืจืช ืืื ืืืืืืื ืฉืืชืืื ื ืืฆื ืฉ-NS .ืฉืืืื ืชืืคื ื ืืืงืฉื
-)ืืงืื ืืฉืชืืฉืชื ื ืืืืื ืฉื ืืืืืขื ืืืงืืจืืชืคืื ืงืฆืืืช ืืืืชืืืช ืืจืืฉืื ืืช ืฉื 1 - ืืืื ืืืืขื
SHA256)ืืฉื ืื ืื ืืืื ืืื ืืืื ืืืืืช / . ืืืืืื ืืื ืืฉืชื ื ืืืืคื ืืจืกืื ืขื ืื ืืืช ืฉืืืกืืคืื
ืช ืืืจืืขืช ืืืืชืืืช ืืจืืฉืื ืืช )ืืจืื ืืคืฉืจืืื 25,515. ืืฉื ื ืื (volatileืืื ืฆืคืื )ืืืกืืช ืจื ืืืืื
ืคืืืช ืืคืฉืจืืืืช ืืืฉืืืื ืืืืืื ืืืื ืื ืืกืคืืง ืืฆืจืืื ืฉืื ื(.
ืื ืืกืฃ, ืืฉืจืช ืฉืืงืื ืืช ืืืืืข ืืืื ืืืฉืชืืฉ ืืืจืืขืช ืืืืชืืืช ืืจืืฉืื ืืช ืฉื ืืืืืื ืืื ืืงืืืข
ืืื. ืืื ืืืืคื ืื ืืฉืืขื ืืืกืืช ืื ืืื ืคืขื ื ืืช ืืืืืขื ื ืืื ืื ืื ืืืง ืืืืืืข ืื ืืืืข/ืื ืคืืขื ื ื
ืืจืืขืช ืืืืชืืืช ืืืืื ืืืฉืืืื ืฉื , ืฉืืชืงืืื ืืฆืืืฉื ืืืืืขื ืืืืฉ ืขืืฉื ืืืช ืขื ืืื ืืืืื
ืืืืืขื.
ืืขืืชืื , ืฉืื ืืื ืืืืืช ืืืขืช ืื ืกืืจ ืืืืืืื ืื ืืืืืขืื ืืฉืจืช, ืื ืืื ืคืขืืื ืื ืืืืขื - ืืกืคืืจ
ืจ ืืืืืื ืื ืืื ืืืืืื , ืืคืจืงืื ืืช ืืืืืข ืืืกืคืืื. ืืกืคืจ ืคืขืืื DNS ืืืื ืืฉืืื ืืงืฉืช ืืืฉื ืืจืืื ื
ืืงืื ืืกืคืจ ืืฉืื.
ืืืจื ืืืืืขื ืืืงืืจืืช ืืืืืืช. ืืฉืจืช ืืฉืชืืฉ ืื ืชืื ืื ืืฉืืื ืืืืืช ืฉืื ืืืืืข - ืืืจื ืืืืืขื
ืืืืข ืื ืืกืฃ ืืืฆืืื. ืืืจื ืืืืืขื ืืื ืื ืืืฆืขื ืืืืืืช ืืฉื ื ืืืืื ืืืืืขื, ืฉืืืืื ืฉืืืืืขื
ืืืืขื ืืฉืืืืชื, ืืืืืจืื ืืืื.
![Page 47: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/47.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
47 2021 ืืืืืกื ,132ืืืืื
115ืืืจืื ืฉื ืืืงืกื ืืื ืืื ืืคื ืืฉืืื ืืืชืืืจืช. Lorem Ipsumืฉื ืืืงืกื ืืืื ืืืืื ืืงืืืื
ื ืืฆืืจ ืืช ,". ืืคื ืืชืื ืืช ืืืขืื2d8cืฉืื ืื " SHA256ืชืืืื, ืืืจืืขืช ืืืืชืืืช ืืจืืฉืื ืืช ืฉื ืืืืื
:ืืชืืืืช ืืืืืืื ืืืืืช ืืฉืจ ืืชืืชืืืช ืขื ืืืงืกื ืืืงืืจื ืืืืจ ืงืืืื ืืืืคื ืืื
ืืืืจืช ืืขืจืืฅ ืืกืืื
. ืืืื ืฉืืื ืคืจืืืืงืื ืื ืื ืืกืืกื, ืื ืืื ืฉืืืคืฉืจ DNSืกืืื ืฉืื ื ืฉืชืืฉ ืืื ืคืจืืืืงืื ืืขืจืืฅ ื
ืืชืงืฉืจ ืืืชื. ืื ืืืื, ืื ืื IP-ืืื ืืืฆืื ืงืืื ืืช ืืชืืืช ื DNS-ืชืงืฉืืจืช ืืื ืืจื ื, ืืฉืชืืฉ ื
ืืืืื ื:
ืชืงืฉืืจืชICMP - Ping
ืืืDNS Lookup - nslookup / dig
ืชืงืฉืืจืชHTTP - 'ืืคืืคื ืื, ืืื
ืช ืชืงืฉืืจTCP - Telnet ,SSH
ืืืคืืืืืืฆืื ืืืคื ืืื ืืจื ื ืืืคืืคื ืื- prefetch-dns
ืฉืชืืืืืช ืืืืฉื ืืืื ืงืื ืขื( ืจืฉืชืืช ืืืจืชืืืชProtocol Graph Open)
![Page 48: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/48.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
48 2021 ืืืืืกื ,132ืืืืื
)ืืืืืื ืื ืงืืื(, ืืื ืชืืืช ืืื ืฉืืื ืืงืื. NXDOMAINืฉืื ื ืืืืืจ ืืื ืืงืจื ืชืฉืืืช NS-ืฉืจืช ื
ืืื ืืฉืืืจ ืืช ืืืืืข ืฉืืชืงืื, ืืืืฉืจ ืื ืืืงื ืืืืืข ืืืืขื, ืืื ืืืคืืก ืืืชื ืืืืฆื )ืื ืืฉืืืจ ืืืชื
'(.o-ืืชืืงืืื, ืื ืืฉืชืืฉืื ืืืคืฉืจืืช '
dns-prefetch
ืืืฉืจ ืืคืืคื ืืืงืฉ ืืฉืื ืืฉืจืช )ืฆื ืฉืืืฉื(, . HTML-ื metaื, ืืื ืืืืงื ืชืืืช ืขืจืืฅ ืกืืื ืืกืงืจื ืืื
ืืคื ื ืฉืืืคืืคื ืืืื ืืืืืฉ ืืช ืืืงืฉื. ืขืืืจ ืืชืจืื IP ืืฉ ืืคืชืืจ ืืช ืฉื ืืืืืืื ืฉื ืืงืืจ ืื ืืืชืืืช
ืืืช ืชืงืฉืืจืชืืช ืืืืืื ืืืืืื ืืืชืข DNS-ืืคืืชืืื ืืืืืจืื ืืฆืืืื ืฉืืืฉืืื ืจืืื, ืืื ืจืืืืืฆืืืช ื
DNS-ืืืืื ืืืชืฉืืื ืืฉืืืืชืช ืืืืืืืช ) ืืืื ืฉื ืืืช ืืงืืชืืืช ืื ืืืืื ืืงืื. ืืชืขืจืื ืืฆื ืื
-dnsืืฉืชืืฉืื ืืชืืืช ืขื ืื ืช ืืคืชืืจ ืืขืื ืื, .ืืกืคืจ ืฉื ืืืชืื( ืืืืงืจืื ืงืืฆืื ืืื ืืฃ ื ืืฆืืช ืืืื
prefetch - ืืช ืืชืืืช ืืื ืกื ืืืฆืื ืชืืืช ืื-IP ืขืื ืฉืืืฉืชืืฉ ืขืชืื ืืืฉืช ืืืืื ืฉืืืช ืืืืืื ืื ืืฉ
.DNS Lookupืชืืืช ืฉืขืืฉื -ืืืฉืช ืืงืืฉืืจ ืืืฉืชืืฉ ืื ืกื ืืคื ืื ืฉ
:ืืืืืื ืืืฉืชืืฉ ืืฉืืจื ืืืื ืืขืช ืฆืืื ืืงืืฉืืจืืคืชืืื ืขื ืื ืช ืืืจื ืืช ืืื ืืืขืืจ ืืื ืงืืฉืืจืื,
ืื ืืงืืฉืืจ, ืืขืืงืคืช ืื DNSืืืคืืคื ืืืฆืข ืืืืงืช ืืชืืืช ืืื ื ืืฉื ื ืืช ื ืจืืืช ืืืชืจ ืื ืืืจืืช
:CSP-ื CORSืืขืจืืืช
ืืื ื ืคืืขืืช, ืืขื ืื ืช ืืืคืขืื ืืืชื ืืฉ ืืืืกืืฃ ืชืืืช dns-prefetchืืคืฉืจืืช ืืืฆืข ืืืจืืจืช ืืืื, ื
" ืืคืขืืื x-dns-prefetch-controlืชืืืช " -ืฉื ืืืคืืคื( flags-)ืืื ืฉืื ืื ืฉืื ืื ื HTMLื ืืกืคืช ืื ืงืื
ืืงืืฉืืจืื ืืืื ืฉืืืฉืชืืฉ ืืืืฅ ืขืืืื. ืืืช ืืฉืืืืช ืฉืืชื ืกืืชื ืืืชื DNSืืช ืืืืืืช ืืืฆืข ืืืืงืืช
ืืืืจ, ืื ืฉืืืื ื ืืชื ืืืืืืข ืืืชื ืืชืืกืฃ JS-ืชื ืขื ืืคืจืืืงื, ืืื ืืืฉืื ืฉื ืืืืืจืืชื ืืงืืืื ืืืฉืขืื
ืื ืืฆืืจืฃ ืืคืจืืืงื(. ื ืืชื ืืืฉืชืืฉ ืืชืืกืฃ ืืคืืคื ืฉืืขืช ืืขืื ืช ืืชืจ ืืขืืืจ ืืืืข ืื JSืืจืื )ืงืื
. ืืื ืื ืฉืืชืืงืฃ DOMืฉืืื ืืืืืจ ืืืชืจ ืขื dns-prefetchืฉื ืืชืืงืฃ ืืืืฆืขืืช ืชืืืืช NSืืฉืจืช
ืืืคืืคื )ืื ืื ืคืฉืื ืืืชืงืื ืชืืกืฃ ืฉืื ืื ืืืื ืืช(, developer mode-ื ืืจื ืืืคืขืื ืืช ืืืืฆ
ืืืืชืื ืงืื ืฉืืืฆืข ืืช ืืงืืืื ืืืชืืื, ืืื ืืืื ืืืจืื ืืืืืืช ืืืืข ืืืืคืืคื ืฉื ืืืฉื ืืจืืื ื, ืืืื
ืฉืขืืืืื ืืืืืช ืืชืื GETืืงืฉืืช ืืงืืืช, ืฆืืืืื ืืกื, ืงืืฉืืจืื ืฉืืื ืืืฉืชืืฉ ืืื )ืืืื ืคืจืืืจืื
ืืงืืฉืืจืื(, ืืืฉื ืืงืืงืืืช ืืื'.
![Page 49: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/49.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
49 2021 ืืืืืกื ,132ืืืืื
DNSExfil
ืืืืฆืืข ืื framework, ืืจืกื ืจืืฉืื ืืช ืืื ืฉืืืืจ ืืืืืช DNSExfilืืืื ืฉืขืืืชื ืขืืื ืืืจ ืืื ืื ืืื
ืืฉืชืืฉ ืฉืืืื ืืืื ืขื . ืื ืืืื ืืืืื ืงืืืืื ืืืื, ืืืื ืืื ืืืืจ ืืชืช ืDNS Exfiltrationืกืื ืฉื
. ืืื ื ืืขื ืืงืืืื DNSืกื ืืืื ืืื ืืืช ืฉืืืืช ืืืืืืช ืืืืข ืืจื -ืืงืืืื, ืืืกืคืืจ ืืืืืื ืื ืชืื ืื
ืฉืืืคืฉืจื ืืื fragmentation-ืฉืืืืช ืืืืกื, ืฉืืืืช ืืฆืคื ื, ืฉืืืืช ืืงืืืื ืืืืข ื -ืฉืชืชืจืื ืื ืงืื
ืืฉืชืืฉ ืืืฆืืจ ืื ืงืืืื ืืืืืืื ืฉืืจืฉืืชื.
ืืืืช ืืงืกืืืืืช ืืจืืฉื, ืืืงืื ืืกืคืจ ืฉืืืขืืช ืืื ืืืชื. ืืืจืื ืืฆืขืจ, ืขื ืืืขืจืืช ื ืื ืชื ืขื ืืื ื
ืืืื ืืชืืืช ืืืืืจ ืืื ืื ืืกืคืงืชื ืืกืืื ืืืชื )ืืืืืื ืืจืืฉืื ืื ืขืื ืืื ืฉืืืขืืช ืขืืืื(. ืขื
ืืืจืืืืช, ืื ืฉืชืืืื ืืืฉืชืืฉ ืื ืื ืืืืช )ืืืงืืจ ืืื CLIืื ืช ืฉืืืื ื ืืชื ืืืฉืชืืฉ ืื, ืื ืืชื ืืื
(. ืื ืฉืืืืฉ ืืคื ืืื ืืื ืืจืกื ืจืืฉืื ื )ืื ื ืงืืจื ืื Rustืื ืืฉืคืช ืชืื ืืช ืืืืจื ืืืืืช ืืืื ืืชื
MVP - ืืืฆืจ ืจืืฉืื ื ืืกืืกื( ืฉื ืืชื ืช ืฉืืืื ืืกืืกืืช ืขื ืืืืกื ืืืืจืื ื ืืกืคืื. ืขื ืืืื, ืืื ื ืืจ, ืื ื
ืืกืืื ืืื ืืช ืืช ืืืื ืืื, ืืืื ืืืชืื ืืชืืช ืืืฉื ืขื ืืชืืืื...
![Page 50: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/50.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
51 2021 ืืืืืกื ,132ืืืืื
ืืื ื: ืฉืื ืื ืืืืจืืช ืืืืืื
NSืฉ ืืืื, ืืฉ ืืืืื ืจืืฉืืช ืืช ืืืืืืื ืฉืชืืืจื ืื ืฉืืืื ืืืขืืืจ ืืช ืืืืืข ืืฉืจืช ืขื ืื ืช ืืืฉืชื
ืืืชืืื. ืืฉื ืื, ื ืืกืืฃ ืฉืชื ืฉืืจืืช ืืืืืจืืช ืืืืืืื:
Content Name Type
t1ns.the-gordons.site t1 NS
39552215318521 t1ns A
. ืืืืืจ ืืืืืืื the-gordons.siteืฉืืืืชื, ืืฉืจ ื ืงืจื ืฉื ืืฆื ืืืื ืืืืืื ืืื ืชืืืืืืืื ืฉืื ืืฉืชืืฉ
ืฉืื. ืขื ืื ืช ืฉืืืงืฉืืช DNS-ืืืฉ ืื ืืืืืช ืืฉื ืืช ืืื ืื ืืช ืจืฉืืืืช ื Hostingerืฉืืจืชื ืฉื ืงื ื ืืืชืจ
. NameServerืืืืืข ืฉื ืืชืืงืฃ( ืืฉ ืืืืืืจ ืฉืจืช -ืฉืืืจ DNS-ืืขืืจื ืืฉืจืช ืืืืืื ืคื ืืื )ืงืจื ืฉืจืช ื
ืืื ืืืืืช ืืชืืืช ืืืืืื )ืื ืืืื ืืืืืช ืืฉืจืช ืืืื ืืคื ืื ื -ืืจืฉืืืืช ืืขืื ืืขืื NS-ืฉืืจืช ืืืืืจืช
ืคืฉืืื(. IPืืชืืืช
ืฉื ืืฉืจืช ืฉืื ื. IP-ื ืืกืคืช, ืืฉืจ ื ืืชื ืช ืฉื ืืืฉ ืืืชืืืช ื Aืขื ืื ืช ืืขืงืืฃ ืืช ืืืขืื, ื ืืกืืฃ ืจืฉืืืช
ืืืืจืฉ ืืืช. ืื, ืืฉืจืช NS-ืืขืช, ืืฉ ืืฉืจืช ืฉืื ื ืืชืืืช ืืืืืื ืืฉืืืืช ืืืื, ืื ืืชื ืืืืื ืืืช ืื ืฉืื ื
ืืืืชื .t1nsืืืืืื ืืืืขืืืจ ืืืชื ืืฉืจืช -ืืื ืืืืืช ืชืงืฉืืจืช ืฉืชืืืข ืืืคืฉ ืชืชืืืืคืชื "ืฆืื ืืจ ืงืืืื",
ืืืืืื ื ืืชื ืืืืืืจ ืืกืคืจ ืฆืื ืืจืืช, ืืงืืืืช ื ืชืื ืื ืืืงืืืืช ืฉืื ืื.
ืืขืจื ืืฉืืื ืื ืืืข ืืชืืืื ืืฉืจืช ืืืืงืื
ืืื ืช )ืืืื, ืช DNSEXfil-Server.py - 1, ื ืืชื ืืืฆืื ืฉืชื ืชืืื ืืช ืฉืืชืืืืช ืืคืืืชืื repository-ืืชืื ื
)ืืืื, ืชืืื ืช ืืงืื(. ืืฉืืืืืจืื ืืช ืืืงืื ื ืืชื ืืืืืืจ ืืช ืืงืืืื DNSExfil-Client.py-ืฉืจืช( ื
ืืืืืืกื, ืื ืื ืงืจืืื ืืืืืืจ ืืช ืืืชื ืืืืจืืช ืื ืืฉืจืช )ืขื ืื ืช ืฉืืืืข ืืื ืืืชืืืื ืขื ืื ืชืื ืื(.
ืง ืืืชื ืืื ืฉืื ืืชืืื ืช ืืืงืื ืฉืืืจืืืื ืขื ืืืืกื ืืงืืืื ืืืืขืชื flagsื ืืชื ืืืฉืชืืฉ ืืืืืง ืืืืชื
ืื ืืฉืจืช )ืืืชื ืงืื ืืืืืง(. ืืขืชืื, ืืืกืืฃ ืืงืื ืืช ืืืืืืช ืืฉืืืจ, ืืืขืืืจ ืืืงืืื ืืงืืืช ืืืืจืืช
. ืื ืขืื ืืฉืจืช ืืืืงืื ืืืขื ื ืืช ืืืชื ืงืืืฅ, ืื ืืืื protobuf-ืืืืกื ืืงืืืื ืืคืืจืื ืืืืก ืืืื
ืืชืืืืื ืขื ืืืืืจืืช ืฉืืื.
![Page 51: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/51.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
51 2021 ืืืืืกื ,132ืืืืื
ืื?ืืจืืข? ืืื ืื ืืืืช ืืขืืื ืื DNSExfilืืื
ืืื ืื ืกืื DNSืฉืืื ืืืื, ืฉืืฆืืืงื ืคืจืง ืฉืื ืฉืืขื ื ืขืืื. ื ืชืืื ืืื ืฉืืขืืจืช ืืืืข ืืืืฆืขืืช
ืืชื ืขื ืื ืืจืฉืืืช Oskar Pearson -ืขืื ืืื ืฉ DNS Tunnelingืฉืืืจ. ืืชืื ืืชืืืช ืืืืืจืื ืขื
ืืชืืจ ืืื ืืงื Blackhatืืฉืืื ืืืฆืื ืืื ืก 2111. ืืฉื ืช 3889ืืืคืจืื 31-ื Bugtraq ืืชืคืืฆื
ืืืงืจืื ืืืจืื ืืื ืืกืชืืืื ืขื . ื ืฉืืข ืืฉื? ืืืื, ืืฉื ื ืจืืืืช ืฉืื ืืืื, Kaminsky Danืืืจืฆืื ืฉื
ืฉืืขืืชืื 0day, ืขื ืฉืืจืืืื ืืืื ืืืืจืื ืื ืืืงืืช ืฉืืื. ืื ืืืื ืืคืืืขืืช ืฉืืืืฉ ืืืื ืืงืืช ืืืืืช
ืืืืืืช ืืืืืช ืืชืืงื ืืช ืืืืจ ืืื ืื ืืืื ืชืงืื ื ืงืืืชืืช, ืฉืืืืช ืืขืงืจืื ืืช ืืืฉืื ืฉื ืืฉืคืื ืืื ืกืื
ืืื. ืื ืคืฉืื ื ืขืืืื, ืืื ืขืืืจืื ืฉืืจืื ืืฉืืคืืจ ืืืืจื
ืฉืืฆืืจืฃ ืืืืืฉ dnscat2ืืคื ื ืฉืืชืืืชื ืืช ืืคืจืืืงื ืืื, ืขืฉืืชื ืืืงืจ ืขื ืคืจืืืงืืื ืืืืื, ืืืื ืขื
. ืืื ืืื ืืื ืืฉ ืืช ืืืืืงืืช Kali Linux( ืืกื ืืืืื ืฉืืืืขืื ืืืชืงื ืื ืขื 2123ืืืืจืื )ืืืื
ืืื ืื ืืกืคืง ืืช ืืขืจืื ืืืืื ืฉืื ืฆืืช ืืืืืืื ืืช ืืคืจืืืืงืื ืืืืืืฉืืช ืฉืื, ืืื ืืฃ ืืื
ืื ืืชื ืช ืืืฉืชืืฉ ืืช ืืืืืืช ืืืืืืืืืืืืช ืืฉืืื ืืืืจืืื ืืขืฆืื ืขื ืคืื ืฆืื ืืช ืืงืืืื ืฉืื. ืืืืชื
ืื ืืื ืืฆืืื ืืืจืช ืขื ืื ืืกืืื, ืืื ืืื -ืืกืงื ื ืืืืขื ืื ืื ืืืืงืจืื ืฉืงืจืืชื ืฉืขืกืงื ืื ืืฉื
ืืื ืฉืฉืืื ืืื.
ืืจ ืืคืชื ืืช ืืืืฉืื ืืื ืืื ืื ืืฉืืื ืืืืฉืืืช, ืื ืื ื ืืืืื ืฉืืืฃ ืืืฆืืจ ืืช ืืืื ืื ื ืื ืืชืื
ืืื ืืื ืฉืืขืฉื ืืช ืืขืืืื. ืคืืจืงืชื ืืช ืืคืืฆ'ืจืื ืฉืชืื ื ืชื ืืคืจืืืงื ืืืืืฉื ืฉืืื ืื ืคืงื, ืืื ื
ืืชืื ื ืืขืืื ืขื ืื ืฉืื ื ืืกืคืื ืืงืืืื ืขื ืื ืช ืืืคืื ืืช ืืืื ืืื ืืืฆืืืืช )ืืืืื ืื ืืืฆืืจ ืืืชื
ื ืืฉื ืืื ืืขื ืืื ืืชืื(.ืงืฉืจ ืื ื
, IP Reputation ,WHOIS"ืืืืื" ) ืืกืคืืงืฉืื ืฉืืืืืืืืกืืืื ืืื, 4# ืืืืจ ืืคืืืขื ื:
Alexa )ืืขืืื ืื ืื ืืืื
ืืืืืื ืฉืชืืืจืชื ืืื, ืื ืกืืืจ ืฉืื ืชืงื ื ืืืืืื ืืฉืืื ืฉืืื ืืื ืืขืืื ืขื ืื -ืื ืงืฆืช ื ืืื
ืื ืื ืชืื ืื ืฉืื "ืืจืืื ืืื"(. ืืื, ืื ืื ืืืืชื ืืจืฉืชืืช ืืืจืืื ืืืช ืื ืืงืฉืืช ืืืืชืจ )ืขืืื ืืืืืกื
ืฉื ืืชืจ ืืืืข ืฉืงืืื ืืืจ ืืื ืื ืืืฉ ืื ื ืืืืืช ืืจืฉืช? ืืื ืืืขื ื DNS-ืืงืื ืฉืืืื ืขื ืืืืจืืช ื
ืืืืช ืขืืืื ืืืืชื ืขืืืืช? ืื ืืืืืง.
( ืืขื ืืฉืืืื ืืืชื ืืืืืืื ืืื ืจืืฆืAPT Groupืืคื ืืื ืฉืื ื ืจืืื ืืช ืื, ืื ืชืืงืฃ ืืจืื ืืืื ืืช )
ืืืืฆืื ืืชืงืคื ืืืืช ืืคืืขื )ืืืื ืืืื(, ืืื ืืฆืืจื ืื ืืืฉืชืื ืขื ืืชืจ ืืืืจ )ืืืืฆืขืืช ืคืืืขืืืืช
, ืื ืืืืืคืื, ืืืฆืืจ ืืชืจ ืืืฉ, ืืชืช ืื ืืฆืืืจ ืชืืืฆื, DNS-ืงืืืืืช ืืฉืจืช(, ืืืฉื ืืช ืื ืืช ืืืืจืืช ื
ืืืืืจ ืืืฆืจืื, ืืคืจืกื ืืืืข ืืจืฉืชืืช ืืืืจืชืืืช, ืืื ืืืืจ ืืื ืฉื ืื ืืืฉืชืืฉ ืื ืืชืืจ ืืกืืก
ืื ืืชื, ืื ืขื ืืื ืฉื ืืืืื ืืช DNS Tunnelingืืืขืืจืช ืืืืืข. ืืื ืื ืืื, ืืฉืืื ืขืฆืื ืฉื
ืืืคืฉืจืืช.
![Page 52: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/52.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
52 2021 ืืืืืกื ,132ืืืืื
ืืฆืืื ืืช ืืืืืืื ืื ืฉื ืจืืื ืืืืจ, ืืื DNS-, ื ืืชืื ืคืฉืื ืฉื ื ืชืื ื ื3#ืืขื ื: ืืคื ืืืืจ
ืืืฉืืฃ ืืช ืืขืจืืฅ ืืกืืื
ืื ืฉืื ืืจืืืื ืืฉืืขืืชืืช ืืืฉืืฃ ืืช ืืืืืืื DNS-ื ืืชืื ืฉื ืชืขืืืจืช ื -ืืืช ื ืงืืื ืื ืจืขื ืืืื
ืืืจืืืช ืืืืืืื ืื ืฉืืืฉื ืืืืืืื ืืืืฉ ืืืืื. ืืืขื ื ืืื ื ืืฉืืืืช ืื ืืกืื. ืขื ืืืช, ืชืื ืื ื ืืื ืฉื
ืืงืืืื ืื ืืืื ืืคืชืืจ ืืช ืืืขืื )ืืคืืื ืื ืืืงืืช(.
, ืืื CDNืืืืืื ืืื ืืืืื ืืื ืื ืืืจ ืืืฆื ืืืคื ืื ืืฃ. ืืชืจืื ืฉืืกืคืงืื ืฉืืจืืชื -ืจืืฉืืช, ืฉืืืืฉ ืืชืชื
Cloudflare ืืฉืชืืฉืื ืืืชืืืืช ืืืืืื ืฉืืืืืช ืืฆืืจืชื ืืืืืืช ืืืืืืื ืื ืฉืื ื ืืฉืชืืฉืื ืืื ืืฉืืื ,
ืฉืื ื:
ืืื ื, ืงืืื ืืืื ืืฉืืขืืชื ืืืืจื ืืืืืืื ืื ืืืืื. ื ืืชื ืืจืืืช ืืืืจืืจ ืฉืืืจื ืืืืืืื ืืืืืื ืืืขืื
ืืืืจืื ืืช ืืืืช ืื ืืชืืืื ืฉืืฉ ืืฉืืื ืฉืื ื. ืคืชืจืื ืืคืฉืจื ืืื ืื 251-ืืื ืืฉืืขืืชืืช ืงืฆืจ ืืืชืจ ื
ืืชืืืื ืืืืืื ืขื ืื ืช ืืืชืืืง ืืืืืื(. ื ืืชื ืืขืฉืืช ืืืช 251)ืืืืืจ ืื ืื ืฆื ืืช ืื ืืชืืืื ืืื ืืืืืื
ืขื ืืื ืฉืื ืื ืฉืชื ืฉืืจืืช ืงืื )ืืงืื ืฉืืชืืชื ืืื ืืืืช ืื ืืื ืืื(, ืืื ื ืืชืืืื ืืขืชืื ืืืื ืืก ืืช ืื
ื ืืืจ ืืืืืกื ืืืงืืืื. ืืชืืจ ืคืจืืืจ ืฉืืฉืชืืฉ ืืืื ืืฉืืื ืื ืืืฉื ืืช ืืืชื, ืืื ืื
ื ืืชื ืื ืืืคืืืช ืืืืืช ืืืงืฉืืช ืฉื ืขืฉืืช ืืื ืืืืืช ืืื )ืืื ืืืืืจ ืืืชื ื ืืืจื ืืืืืื ืืืืฉืื ืืื
ืกืืืืืช ืืืืืจืืช ืืขืืจืช ืืืืข(.
, ืืืงืจืื ืืืื ืืืจืกืืืช ืื ืืืจืืื ืืืืืจืช 2139ืฉื ืืช, ื ืืชื ืืืืื ืขืื ืืืชืจ ืืช ืื ืชืื ืื ืื ืฉืื ืืชืืื. ืืืื ื
. ืืืื ืชืืฆืืช ืฉื ืื ืฉืื DNS-ืฉืขืืกืง ืืืืืื ืืืืข ืฉืขืืืจ ื ืืืฆืืื ืืืืจ" "ืืงืืื ืืื ืืืืืืืช
ืืืคืฉืื:
ืชืืืื(, ืืืื' 251ืืฉืืื ืืงืกืืืื ืืงืื )ืชืืช ืืืืืื ืฉื ืืฉืชืืฉื ืืฉืืืช ืืืืืื ืงืฆืจืืืชืืงืคืื .1
"28a.de ืฉื ืขืฉื ืื ืฉืืืืฉ ืขื ืืื ืืืืจืืก "BernhardPOS ื ืืื ืืืฉืชืืฉ ืืขืฆืื ื 2135ืืฉื ืช .
ืืฉืืืช ืืืืืื ืืจืืืื ืืืชืจ, ืืืืื ื.
ืขื ืฉืืืืืช ืงืืืช, ืืืื' ืืฉืชืืฉื ืืฉืืืช ืืืืืื ืฉืืืืื ืืืชืจืื ืงืืืืืืชืืงืคืื .2
"d4fg732a.deploy-cloudflare.net ืฉืืื ื ืฉืืื ืืืืจืช ,"Cloudflare .ืขืฆืื
-ืฉืืืกืื ืืืชื ืืืช ืื ืชืชื, ืกืืืจ Data Exfiltrationืืืจืืข ืฉืืืฆืืื ืฉืืืืืื ืืฉืืฉ ืืืืฆืืข .3
.ืืืืืืื ืฉืื
, DNS-ืืืืช ืืืชืืืช ืฉื ืฉืืื, ืกืืื ืืงืฉืืช ื -( per-domain approach) ืืืกืคืื ืืืืข ืขื ืื ืืืืืื .4
ืืืืื ืืื )ืงืืืขืื?( ืืื ืืืงืฉืืช. ืื ืืขืจื ืฉื ืืื ืืื ืืืื ืืขืจื ืกืฃ ืืกืืื, ืืืืืืื ืืกืืื
ื ืื ืฉืื ืื )ืชืืืื ืืื ืืืืฉื(.ืืชืืจ ืืขืืืชื. ืื ืื, ื ืฉืชืืฉ ืืืกืคืจ ืืืืื
![Page 53: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/53.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
53 2021 ืืืืืกื ,132ืืืืื
, ืื ืชืืืืช TCPืืืืจื ืืืื ืชืงืฉืืจืช DNSืฉืืืืจ ืชืงืฉืืจืช ืืฉ ืืขืจืืืช ืฉืืกืชืืืืช ืขื ืื .5
ICMP ืืื ืืฆืคื ืืื. ื ืืฆืืจ ืื ืชืงืฉืืจืช ,TCP ืชืืืืช ืืืืจ ืืงืฉืช ื-DNS.
ืืืืืืืช ืฉื -ืืืืืง ืืช ืจืืช ืื( ื ืขืฉืืช ืืืืืืื ืื ืขื ืื ืช Shannon Entropyืืืืงืืช ืื ืืจืืคืื ) .6
. ืืืืงืืช ืื ืืจืืคืื ืืืฆืืืืช ืืกืืคื ืืกืคืจ, ื ืืงืื ืกืืืืกืื, ืฉืืืืจ "ืขื ืืื ืช ืฉื ืืืืืืืืืืืชืื
ืฆืคืื ืืืงืกื ืืืืืชืืืช ืฉืื". ืืงืกื ืืื ืืืืช, ืืืืืื, ืืขื ืื ืืจืืคืื ื ืืืื, ืื ืืื ืืืกืืช ืฆืคืื. ืื
' eืื ืื ื ืื ืืืืขืื ืืืื ืืืช ืชืืืข ืืืื, ืื ืื ื ืืืืืื ืื ืืฉ ืฉืืืชืจ ืกืืืจ ืฉืืืืช ืืืื ืชืืื '
'. ืื ืื ื ืืืืืื ืืืืชืืืช ืจืืฉืื ืืช ืื ืืฉ ืืช qu' ืืื ืืืชืจ ืฆืคืื ืื ืคืืฅ ืืืจืฆืฃ 'th', ืืฉืืจืฆืฃ 'zืฉืจ 'ืื
ืืื ืืฆืื ื. ืื ืืคืฉืจ ืืืขืช ืื base36ืฉืืจ ืืืืื. ืืืชื ืืืืืืช ืืืชืืืจืืช ืืื ืื ืืืืช ืขื ืงืืืื
ืชืืื ืืืืช ืืืื, ืื ืืงืืืื ืฉืื ื ืืื ืื ืฉืคื.
[https://arxiv.org/pdf/1709.08395.pdf]ืืงืืจ:
ื ืืื ืืขืงืืฃ ืืช ืื ืืืืฆืขืืช ืฉืืืืฉ ืืงืืืื ืืชืงืื ืืืชืจ, ืฉืื ืื ืืืกืคืจ ืืืชืืืช, ืื ืืงืืื ืื ืืืช ืืืืื
ืืืืืืืืช ืืื ืืืืช )ืืื ืืืืืื ืืืืืช ืืืกืืจืื ืืืขืื(.
ืืขืืจืช ืื ืืืืืข.ื ืจืง ืืืืืืื ืืืืืขื ืืืื ืืฉืชืืฉื 2118ืื ืืืืจืืก ืืื .7
Aืื ืืกืื DNS-ืืืงืฉืืช ื 88.1% -ืงืืืกืืืช. ืืคื ืืงืืจ ืฉืื ืืฆืืืื DNSืืฆืคืื ืืกืืื ืืงืฉืืช .8
(. ืืื, ืืฉ ืืฆืคืืช ืืขืืงืจ Reverse lookup pointers) PTR-( ืIPv6-)ืืืืขื ื AAAA(, IPv4-)ืืืืขื ื
ืืื.
ืืืืืืื ืฉืื )ืื -ืืจ ืขื ืชืชืืืืืืื ืฉืืฉืชืืฉืื ืื ืืืขืืจืช ืืืืข ืืจืื ืื ืืื - ืืืืืื-ืืืืืืืืช ืชืชื .9
ืืืืืื ืชืืช ืืืืืื ืืกืืื.-ืืื ืจืืฆื ืืืขืืืจ ืืืืขืืช ืฉืื ืืช(. ืืื, ืืืคืฉืื ืืช ืืืืืืืืืช ืฉื ืชืชื
ืืื Cache-ืื ืกื ืืืชืืืง ืืจืื ืืฉืืืืฉ ื DNS-ืชืืงืคืื ืฉืืฉืชืืฉืื ื - DNSื ืคื ืชืงืฉืืจืช .10
ืืชืืืงืืืืช ืืืจืืช ืงืฆืจืื ืื TTLืฉืืืืืข ืืืืข ืืฉืจืช ืฉื ืืชืืงืฃ. ืื ืื ืกืื ืืจืื ืืืฉืชืืฉ ืืขืจืื
ืืฉืืืืฉ ืืืืืื. ืืชืืฆืื ืืื, ื ืคื ืืืืืข ืฉื ืฉืื ืืืืืืื ืืกืืื ืืื ืืืื ืืฉืืขืืชืืช ืืืืจื ืืื.
ืืืคืฉื ืืช ืืืจื ืืืืืืื ืืืืืฆืข ืฉืืืขืืจ, ืืฆืจืื ืืืืื ืฉืืื ืืืื ืงืฆืจ ืืืกืืช. -ืืืืจื ืงืืืข! .11
![Page 54: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/54.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
54 2021 ืืืืืกื ,132ืืืืื
, ืฉืืืืง ืืช ืืืืืจืืช ืืชืื ืืืืจ ืืืืืืกืืื ื UNSW, ืืืงืจืื ืืืื ืืืจืกืืืช 2138ืื ืืืืืจ
Machine Learningืืืืฆืขืืช DNS Tunnelingืืืชืืืืืช ืืืขืจืืช ืฉืชืืื ืืืืืช ืืืืื ืืืื ืืืช ืืคื ื
ืจืืฉืืช ืืื ืงืฆืจ ืืื -ืืืืืื ืืืฆืื(. ืืืืชื ืืืงื ืืช ืืืืงืจ ืืื ืืขืืจืืื ืืืืื 85%)ืขื ืืืืง ืฉื
)ื ืืจื ืืืืื ืืืืื(, ืืฉื ืืช ืื ื ืืืฆื ืฉืืืืืงืืช ืฉืื ืขืฉื ืืื ืืืืฉื ืืช, ืื ืืืืืงืืช ืืืืืื ืืื
ืืงืืคืืช. ืขื ืืืช, ืืืืข ืืื ื"ื ืขื ืืืืจืช ืืืืคืืื ืื ืฉืืืืื ื ืืืืืืช ืฆืจืืื ืืืคืฉ:
[Time_Detection_of_DNS_Exfiltration_and_Tunneling_from_Enterprise_Networks-Real]ืืงืืจ:
ืื ืื ืืืืืื ืื ืืจืืืื ืืืชืจ ืขืืืืื ืืืืื ืืืืข ืืืืงืจืื ืกืืืจ - (FQDNืืืืช ืืืชืืืช ืืืืืืื ) .1
ืืชืืืืช ืืืืืืื ืชืืืื, ืื 239 - 11ืจืืืฉ. ืืืขืจืืช ืฉืืื ื ืงืืื ืื ืชืคืกื ืืืืืื ืื ืฉืื ืื ืืืืจื
ืชืืืื. 93-ื 11ืืื - ืฉืื ื ืงืืื ืืื ืงืฆืจืืช ืืฉืืขืืชืืช
ืืื ืืืืจืืื ืืืืืื ืืจื-ืชืชื - ืืืืช ืืืชืืืช ืืชืชื ืืืืืืื )ืื ืืืืชืืืช ืฉืืฉืืื ืืืืืืื ืืจืืฉื( .2
- 31ื ืชืคืกื ืืืขืจืืช, ืืขืื ืฉืืืืืื ืื ืฉืื ื ืชืคืกื ืืื ืงืฆืจืื ืืฉืืขืืชืืช )ืืื 215 - 21ืืฉืชื ืื ืืื
ืชืืืื(. 29
ืืืืงืจืื ืืกืชืืืื ืขื ืื ืฉืืจืืืช ืืฉืืืืช ืฉืขืืกืงืืช -ืืืืช ืืืชืืืช ืืืืืืช ืืืืืช ืกืคืจืืช .3
ืชื ืฆืคืื ืฉื "ืืงืกื ืจื ืืืืื" ืฉืืืืคืืื ืืงืืืื ืืื-ืืฉืชืืฉืื ื DNSืืืืฆืืช ืืืืข ืืืืฆืขืืช
ืืืชืืืช ืืืืืืช ืืกืคืจืืช. ืืืืจืืื, ืืืชืืืช ืืืืืืช ืืืกืคืจืื ืื ืกืืื ืื ืืจืืจืื ืืืืืข
ืฉืืงืืื/ืืืฆืคื. ืขื ืืืช, ืื ืืืืื ืฉืื ืื ืืืืืข "ืืืืชื ืงืจืื" ืืื ืืืืจื ื ืืืงื ืฉืื ืกื
ืืืืฆืื ืืืืข ืืืืฉื ืืจืืื ื, ืืืื ืืกืชืืืื ืขื ืฉืงืืื ืขื ื ืชืื ืื ื ืืกืคืื.
ืืืขืื.ืืืชื ืืืจ ืืื -ืื ืืจืืคืื .4
, ืืืช ืื ืื labels-ืืืืงืจืื ืืฉืชืืฉื ืืกืคืืจืช ืืืืช ื - )ืืืืช ืื ืงืืืืช( labels-ืกืคืืจืช ืืืืช ื .5
-ืืืืื ืื ืฉืืฉื ื ืชืื ืืืช ืืจืืจืืช ืฉืืืืจืืช ืขื ืขืฆืื )ืืื ืฉืืฉ ืชืื ืืช ืืจืืจื ืฉืืืืจืช ืขื ืขืฆืื ื
DNSExfil ืืืช ืืืืื ื ืงืืื ืืืื, ืืืจืืช ืฉืืฉื ื ืืจืืื ืืขืจืคื ืืช ืืืืืข ืขืื ืืืชืจ, ืื ืฉืื .)
ืืืื ื ืืชื ืืืืืช ืืืชื.
ืืืงืกืืืื ืืืืืืฆืข ืฉื label-ืืืกืืฃ, ืืืืงืจืื ืืืืงืื ืืช ืืืจื ื -ืืงืกืืืื/ืืืืฆืข labelืืืจื .6
ืงืฆืจืื. labelsืืจืืืื ืืืชืจ ืกืืืจืื ืืืชืืืืช ืืืฉืจ labels-ืื ืืืืืื. ืื ื ืจืื ืฉ
![Page 55: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/55.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
55 2021 ืืืืืกื ,132ืืืืื
ืจืขืืื ืืช ืืฉืืคืืจ
ื ืืืฉื ืฉืขืื ืืืืงืื )ืื ืืฉ ืืื ืืืจื ืฉืืจืื ื ืขื ืืคืจืืืงื ืฉืื, ื ืืฉืื ืขื ืืกืคืจ ืจืขืืื ืืช ืืฉืืคืืจ ืฉืื
ืืคื ืฉืืืจืชื, ืืคืจืืืงื ืืื ืืื ืจืขืืื ืืช ืฉืื ืืชืืชื ืคื, ืืืืื ืื ืืืชืื ืื, ืืืืื ืฉืื ืืชืื ืืืื(.
ืจืง ืืืชืืื ืฉื ืืื ืืงืืฃ ืฉืืืืจ ืืืขืช ืืืชืืืื ืขื ืืขืืืช ืฉืื ืืช ืืืขืจืืืช ืืื ื ืฉืื ืืช. ืชืืื ืืฉ
ืืงืื ืืืฉืชืคืจ, ืืืคืจืง ืืื ืืืงืืฉ ืืื.
?ืชืืกืืฃ ืฉืืืืฉ ืืืฆืคื ื
, RC4-ืืืื ื ืืชื ืืืฆืื ืืขืืืื ืืงืจืื ืฉื ืืงืื ืืืกืคื ืฉื ืืกืคืจ ืกืคืจืืืช ืืืฆืคื ื )ื ืชืืื ื -ืืืืื!
AES ื-Blowfish ,ืืืจืืืืงืืืจื ืฉืืื ืชืืื ืืืื ืืืืช ืฉืืฉืชืืฉืชื ืื ืืฉืืื ืกืคืจืืืช ืืืืืกื .)
ืืื ืืื 91%-ืืื ื ืฆืคืื ืืืืฉื ืืืชื ืจืืฉืืช ืืคืืืชืื )ืื ืืื ืื ืืขืฉืืช ืืืช ืฉืคื ืืืชืจ ืืื ื ืคืืฆื ื
ืืชืืืื ืื( ืืืืืจ ืืื ืื ืืฉืคืืช ื ืืกืคืืช.
ืื ืขื ืชืืืื ืืืกืคืจ ืืชืืืืช ืืืืืื ืื ืืื ืืช?
ืืืืชื ืืืืืื t2-ื t1ืืืืืื ืื ืฉืื ืื )-ืืืจืกื ืืฉื ื ืืืชืจ ืฉื ืืงืื ืืืกืคืชื ืืช ืืชืืืื ืืืกืคืจ ืชืชื
ืืืช, ( ืืื ืขืื ื ืืืจ )ืืืจืืชื ืืช ืื ืืืืจืกื ืฉืืขืืืชื ืื ืื ืืกืคืงืชื ืืืืื ืืช ืื ืืจืืื(. ืขื ืจืืฉื
ืชืืืื ืืืกืคืจ ืืืืืื ืื ืฉืื ืื ืืืืืืื ืื ืื ืืืจ ืฉื ืืกืืชื, ืืื ืืืืื ืืชืื ื ืื ืกืืช ืืงืจืื. ืจืืื ื
ืืืขืื ืฉืืจืืืช ืืืืืจืืกืื ืืกืชืืืื ืจืง ืขื ืืืืืื ืืื ืฉืืจืื ืขืืืจืืช ืื ืืืืืขืืช, ืืฉืืืืฉ ืืืื ืืืื
ืืืืืช ืฉืืจืื ืืืื ืืขื ืืื.
(DNSBinืฉืืืฉื )-ืฆื DNSืืืฉืชืืฉ ืืฉืืจืืช
ืืืืื ืจืืืชื ืืช ืืคืืื ืฆืืื ืฉื ืืขืืื ืืฉืืชืืฃ ืขื RequestBinืฉื DNSBinืื ืฉืจืืืชื ืืช ืืืื. ืื. ื
ืืืชืืงืฃ RequestBinืฉื DNS-ืฉืืจืืชืื ืืืื. ืืืืคื ืชืืืืจืื, ืืืืฉื ืืืจืืื ื ืืืฆืืจ ืงืฉืจ ืขื ืฉืจืช ื
ื ืืขื ื ืขื ืืืจืืฉื ืื ืืืืืช ืืชืงืฉืืจืช ืืฉืืจื ืคืฉืืืืช. ื HTTPืืืื ืืงืืื ืืช ืืืืืข ืืื ืืจื ืืงืฉืืช
ืขื ืืืืฉื ืืืจืืื ื. ืขื ืืืช, ืื ืื ืฆืคืื ืืืืืช ืคืืฆ'ืจ ืฉืื ื ืืื ืืก ืืงืจืื, ืืื ืืืื ืืฉืืืื ืืืืืจืื
ืืืชืจ.
ืืืจืื ืืืชืืืืช ืืืืืื ืืืืจืืืช ื ืืจืืืืืช )ืืืืจื ืืืชืืื(
ืืืข ืืืงืืื ืืืชืืืืช ืืคื ืฉืืชืืชื, ืื ื ืืืืื ืืชืื ื ืืชืช ืืืฉืชืืฉ ืฉืืืื ืืืื ืขื ืืืจื ืืชืืื ืื
ืืืืืืื. ืืืขืจืืช ื ืื ืชื ืืืืฉืื ืขื ืืื ืืืืืช ืืงืกืืืืืช, ืื ืฉืืืช ืื ืืืืจื ืืืืืช ืืขืื.
(DNS Upstreamืืงืฉืืช ืฉืขืืืจืืช ืฉืืื ื ืงืฉืืจืืช ืืืืืืช ืืืืขื ืืช ืืจืืื )
DNS-ืขื ืื ืืงืฉื ืฉืืืืขื ืืฉืจืช ืฉืื ื ืจืืืช ืืื ืืงืฉืืช ื -ืื ืื ืจืขืืื ืฉืืฆื ืื ืืฉืืง ืืืชื
ืืืืืืืจ ืืืจื ืืช 9.9.9.9ืืืืจ ืืื DNSืื ืืืื(, ืคืฉืื ืืืขืืืจ ืืช ืืืืืข ืืฉืจืช ืืืงืืืืืช )ืืฉ
![Page 56: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/56.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
56 2021 ืืืืืกื ,132ืืืืื
ืืืืืข. ืื ืืกืืื ื, ืจืืืชื ืฉืืขืฉืืช ืืืช ืขืืื ืื ืืขื ืืฉืืืื ืืืื ืืฉืจืช, ืืืืจื ืืืขื ื ืืืื ืืืชืจ
, ืืืืขื ืืืื ืจืง ืืงืฉืืช ืฉืงืฉืืจืืช ืืืื )ืืื ืื ืื ืืืฉืื ืืืืฉ ืืืื NS-ืืืืืฆืข. ืื ืืกืฃ, ืืฉืฉืจืช ืืืืืจ ื
ืกืื ืืจืื ืืื ืืื ืฉืืืฉืื ืืขืฉื ืืช ืื(. ืืืฆื ืืื, ืืื ืขืืื ืืืจืื ืืืืืื )ืฉืจืช DNSืฉืจืช ืืชืืจ
ืืื ืืืื(. ืื ื ืื ืืืื ืฉืืืืกืืฃ ืืช ืื ืืคืืฆ'ืจ NS-ืฉื ืืืื, ืฉืืืงืฉ ืืืจื ืื DNS-ืืืงืฉ ืื NS-ื
ืื ืจืขืืื ืืื.
ืืืืืืจ )ืืืื ืืืื ืฉืื( DNS-ืื ืฉืื ื ืื ืืืืื ืฉืืฉ ืืฉื ืืช, ืื ืืช ืืืจืื ืฉื ืืืง ืืืื ื
NXDOMAIN ืืืืืื ืื ืงืืื( ืืชืืจ ืชืืืื ืืื ืฉืืืืชืช(DNS ืื ื ืืืืื ืฉืชืืืืืช ืืืื ืขืืืืืช ืืืชืจืืข .
ืงืืื ืืืื ืื ืงืฆืจ. ืืืืืืื ืฆืจืื -ืื-ืฉืื ืืช, ืื ืืื ืกืืื ืฉืืืืขื ืื ืื ืืจืื ืชืืืืืช ืืืืืื DNSืืขืจืืืช
ื ืืงืื.ืืืืืืจ ืชืฉืืื ืขื ืืื ืืช, ืขืืื ืืช ืืืืืืืืืช. ืืืืื ืืฉืืฃ ืืืืกืืฃ ืืช ื
ืืืืื ืืช-ืืคืฉืจืืช ืืชืงืฉืืจืช ืื
ืืืืื ืืช ืืืจืืื ืืืชื ื ืืืฉืชืืฉ ืืชืงืฉืืจืช ืืืืจื ืืืกืืช, -ืืฉ ืืืื ืืืจืื ืฉืขืืฉืื ืืช ืื. ืชืงืฉืืจืช ืื
ืืื ืขืืื ืืืฉืืฃ ืืช ืืขืจืืฅ ืืกืืื. ืื ื ืื ืจืืฆื ืืืืกืืฃ ืคืืฆ'ืจ ืืื, ืืื ืคืืืช ืืืืฃ ืื ืืจืืข ืื ืื ื
ืืืื ืืขืชืื, .DNSืืืืกืก reverse shellืื ืืืช ืืชืจืื ืืืืฆืืช ืืืืข ืืฆืืจื ื ืืื ื ืืืืืืช, ืืคืืืช ื
ืืืืื.
Rust-ืืืชืื ืืช ืื ืืืืฉ ื
ืื ืื ื ืืืืื ืฉืื ืืื ืืืฉืคืืช ืฉืืืื ืืื ืืืืจ ืืืืืช Python3-ืื. ืื. ืื. ืืชืืชื ืืช ืื ืืืชืืื ื
, ืฉืขืฉื ืขืืืื ื ืืืจืช ืืฉืื ืืชื ืกืืืื ืชืืกืฃ JS-ืืชืื ืืื. ืื ืืชืืชื ืืจืกื ืืกืืกืืช ืฉื ืืืื ืืื ื
ืืืช -ืชืงื ืชื ืืืชื ืขื ืืืฉื. ืื ื ืืืืื, ืฉืืคืจืืืงื ืืื ืฆืจืื ืืืืืช ืืชืื ืืืกืคืจ ืฉืคืืช ืืจืื ืื
( ืืืืช ืฉืคืืขืืช JS(, ืืืช ืฉืคืืขืืช ืืืคืืคื ืื )ืืืงืจื ืฉืื ื, Rust)ืืืงืจื ืฉืื ื, native-ืฉืืชืงืืคืืช ื
ืืกืคืงืช ืื Python-(. ืืชืืืช ืืืื ืPython 3ืขื ืฉืจืชืื, ืืืฉืื ืืื ืืงืก ืืงื ืืชืื ืช ืื )ืืืงืจื ืืื,
ืืช ืื ืืืข ืืืื ืืืืฉื ืืืชื ืืืขืืืืช ืืฉืคืืช ืืืจืืช.ืฆืืื
![Page 57: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/57.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
57 2021 ืืืืืกื ,132ืืืืื
ืกืืืื
, ืืืืืช DNSืืืฉืื ืขืืืืื ืืืื ืืืกืื ื ืืจืื ืืืื ื ืืฉืืื )ืืืืกื, ืืฆืคื ื, ืงืืืื ืืืืข, -51-ืืืืจื ื
(. ืืืืจื ื ืื ืืืช ืืืืืช ืืืืข, ืืขืื ICMPืื ืืจืืคืื, ืงืืืืืื ืืืกืืกืื ืฉืื ืื, ืืืืข, ืขืจืืฆืื ืกืืืืื,
ืืืื, ืืกืืคืงืชื ืืืืืืืช ืฉืื ืืช ืฉืืฉืชืืฉื ืืื ืืขืืจ. ืืืืจื ื ืื ืขื ืขืฉืจืช ืืืืจื ื ืขื ืขืจืืฆืื ืกื
ืืืืืจืืช ืฉืฆืจืืืืช ืืืชืงืืื ืืฉืืื ืืืื ืืืืืืช ืืืืข. ืืืืจ ืืื ื ืื ืกื ืื ืขืืืื ืฉื ืชืืงืฃ ืคืืื ืฆืืืื
ืืขื ืืชื ืืื ืืืืืืืืช ืฉืฆืจืืืื ืืืชืงืืื ืืืืืืื ืืืืืืื. DNSืืืืืจื ื ืขื
ืื ืืฉืืื ืืงืืืื ืื ืกืื ืฉื ืืืืข. ืืฆืืชื ืืช ืืคืจืืืงื ืฉืื, ืขืืจื ื ืขื ืืืืื ืืืืืจ ืืช ืืืืืืืช ืื
12-ืฉืขืืื ืืขืืื ืืชืงืืคื ืืงืจืืื, ืืืช ืืชืืื ืืืช ืฉืื ืืืื ืืืื ืืงืจืื. ื ืืฉืคืชื ืืืืืข ืืื ืคืืืช ื
ืืื ืจืง ืงืฆื ืืืืื ืืื ืืชืืื ืืขืฆืื ืฉื -ืืืงืจืื ืฉืื ืื, ืืืื ืืืงืจืื ืืืฉืืื ืฉืื ื ืขืฉืืชื. ืืื ืื
Data Exfiltration .
ืชืืื ืจืื ืฉืคืื ืืชื ืืืื ืื, ืืื ื -ืขืืืืื ืฉื ืงืจืืื 21ืืื ืฉืืืืขื ืืคืจืง ืืื, ืืืืจ ืืืขื ืื ื
ืื ืื ืฉื ืชืจืื ืืืืง ืืื )ืืชื ืฉืื ืืืื(.
ืืจืฆืืืช ื ืืกืคืืช ืขื ืื ืืฉื )ืืืืืฅ ืืืื(
Misuse of DNS, the Second Most Used Protocol | Black Hat Asia 2020 - YouTube
AWS GuardDuty: Post-DNS Era Covert Channel For C&C - Sze Siong Teo | HITB SecConf
Amsterdam 2021 - YouTube
PacketWhisper Stealthily Exfiltrating Data | DEFCON 26 - 2018 - YouTube
Low & Slow - Techniques for DNS Data Exfiltration - Dimitri Fousekis | BSidesLV 2019 - YouTube
![Page 58: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/58.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
58 2021 ืืืืืกื ,132ืืืืื
ืขื ืืืืืจ
ืื"ื ืืจืฉืช ืืืจื. ืืฉ 5(. ืืชืื ืช, ืืืงืจ ืืืืืช ืืืืข ืขืฆืืื ืืขื ืืืืจืื ื ืืืจื ืืกืืืืจ 38ืืืืจ ืืืจืืื )
ืืชืื ืืืืื ืืืกืคืจ CTFืชืืจื ืืืืื ืืืจืื ืืืฉืื, ืืคืชืืจ ื -ืฉืืืฉื ืืืจืื ืืขืืื ืฉืื ื ืืืื ืืขืฉืืช
ืกืืคืืจืื ืืื ืืืื )ืืื ืืกืืคืืจ ืฉืงืจืืชื ืขืืฉืื(. ืืืงืืจ ืืจืืืืืช, ืืืื ืฉืื ื ืืืื ืืืืืก ืืงืจืื ืฉืื.
(. ืชืืืื ืืืฆืื ืืืชื ืืืืกืงืืจื UI/UXืืืื ืืืืืขืื ืืจืืื ืฉืื ืื ื ืื ืืืกืืงืื ืืืขืฆื ืืจืคื )
(mmgordon82#8278 ืืืืืื. ืืืืื ืื ืืจืืืช ืื ืืช )ืฉืขืฉืืชื ืขื ืืืืขืช ืกืคืื ืืืจืฆืื ืืืืจืื ื
(.ืืืื-ืงืืืงืืืื ืืขื ืืื ืช ืฉืงืืืืชื ืืคืืืกืืืง )ืืชื ืฆื ืืจืืฉ ืขื ืืืืืืช ืืืจืืื ืืืฉื ืืืืื
ืืฉ ืืื ืจืขืืื ืืช ืืืฉืื? ืจืืฆืื ืืืืจ? ืืืชืจ ืืืืืื ืื ืืืฆืืจ ืืืชื ืงืฉืจ ืืืืื:
![Page 59: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/59.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
59 2021 ืืืืืกื ,132ืืืืื
ืืืืืืืืจืคืื
Ahmed, J., Habibi Gharakheili, H., Raza, Q., Russell, C., & Sivaraman, V. (2019). Real-Time Detection of DNS
Exfiltration and Tunneling from Enterprise Networks. IFIP/IEEE International Symposium on
Integrated Network Management (pp. 649-653). Washington D.C.: ResearchGate. Retrieved from
https://www.researchgate.net/publication/337228301_Real-
Time_Detection_of_DNS_Exfiltration_and_Tunneling_from_Enterprise_Networks
Amit Klein, I. K. (2016). The Perfect Exfiltration. SafeBreach. Retrieved from
https://go.safebreach.com/rs/535-IXZ-934/images/Whitepaper_Perfect_Exfiltration.pdf
Annarita Giani, V. H. (2006). Data exfiltration and covert channels. Sensors, and Command, Control,
Communications, and Intelligence (C3I) Technologies for Homeland Security and Homeland
Defense V. 6201. Kissimmee: SPIE.
Antwerp, R. C. (2011). Exfiltration Techniques: An Examination and Emulation. Thesis. Newark, Delaware,
USA: University of Delaware. Retrieved from
https://udspace.udel.edu/bitstream/handle/19716/10145/Ryan_VanAntwerp_thesis.pdf?sequen
ce=1&isAllowed=y
Areej Al-Bataineh, G. W. (2012). Analysis and detection of malicious data exfiltration in web traffic. 2012
7th International Conference on Malicious and Unwanted Software (pp. 26-31). Fajardo: IEEE.
doi:10.1109/malware.2012.6461004
Asaf Nadler, A. A. (2019, January). Detection of malicious and low throughput data exfiltration over the
DNS protocol. Computers & Security, 80, 36-53. doi:10.1016/j.cose.2018.09.006
Carrara, B. (2016). Air-Gap Covert Channels. Thesis. Ottawa, Canada: University of Ottawa. Retrieved from
https://ruor.uottawa.ca/bitstream/10393/35103/1/Carrara_Brent_2016_thesis.pdf
Chapter 5: Data Exfiltration Mechanisms. (2014). In R. E. Aditya K Sood, Targeted Cyber Attacks - Multi-
staged Attacks Driven by Exploits and Malware (pp. 77-93). Waltham: Elsevier.
Clark, D. D. (1982, July). RFC 815: IP DATAGRAM REASSEMBLY ALGORITHMS. Retrieved from IETF:
https://datatracker.ietf.org/doc/html/rfc815
Cloudflare. (2021). What is DNS? | How DNS works. Retrieved from Cloudflare:
https://www.cloudflare.com/en-gb/learning/dns/what-is-dns/
Faheem Ullah, M. E. (2018, January 1). Data exfiltration: A review of external attack vectors and
countermeasures. Journal of Network and Computer Applications, 101, 18-54.
doi:10.1016/j.jnca.2017.10.016
Gardiner, J., Cova, M., & Nagaraja, S. (2014). Command & Control: Understanding, Denying and Detecting.
Birmingham: University of Birmingham. Retrieved from
https://arxiv.org/ftp/arxiv/papers/1408/1408.1136.pdf
Guri, M. (2019, June). Optical air-gap exfiltration attack via invisible images. Journal of Information Security
and Applications, 46, 222-230. doi:https://doi.org/10.1016/j.jisa.2019.02.004
![Page 60: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/60.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
61 2021 ืืืืืกื ,132ืืืืื
IBM. (2010). Networking on z/OS - Internet Control Message Protocol (ICMP) and other layer 3 protocols.
Retrieved from z/OS Basic Skills: https://www.ibm.com/docs/en/zos-basic-skills?topic=nll-
internet-control-message-protocol-icmp-other-layer-protocols
Infoblox. (2020). Data Exfiltration and DNS. Retrieved from Infoblox - Next Level Networking:
https://www.infoblox.com/wp-content/uploads/infoblox-whitepaper-data-exfiltration-and-dns-
closing-the-back-door.pdf
Infoblox. (2020). Data Exfiltration through Service Provider DNS Infrastructure. Retrieved from Infoblox -
Next Level Networking: https://www.infoblox.com/wp-content/uploads/infoblox-whitepaper-
data-exfiltration-through-service-provider-dns-infrastructure.pdf
Iveson, S. (2019, November). IP Fragmentation in Detail. Retrieved from Packet Pushers:
https://packetpushers.net/ip-fragmentation-in-detail/
Jacob Steadman, S. S.-H. (2019). DNSxD: Detecting Data Exfiltration over DNS. Belfast: Queen's University.
Retrieved from
https://pureadmin.qub.ac.uk/ws/portalfiles/portal/161785678/1570493592_CameraReady.pdf
Kaspersky Lab. (2015). The Duqu 2.0. Retrieved from https://media.kasperskycontenthub.com/wp-
content/uploads/sites/43/2018/03/07205202/The_Mystery_of_Duqu_2_0_a_sophisticated_cybe
respionage_actor_returns.pdf
Kolegov, D. N. (2014). Covert timing channel over HTTP cache-control headers. Mathematical Foundations
of Computer Security, 89-91. Retrieved from http://mi.mathnet.ru/eng/pdma153
Lord, N. (2018, September 11). What is Data Exfiltration? DataInsider - Digital Guardian's Blog. Retrieved
from https://digitalguardian.com/blog/what-data-exfiltration
Mark. (2014, 12). Does encrypting a file make it larger? Retrieved from Stackoverflow:
https://security.stackexchange.com/a/76572
Matrosov, A., & Harley, D. (n.d.). Stuxnet Under the Microscope. ESET. Retrieved from
https://www.esetnod32.ru/company/viruslab/analytics/doc/Stuxnet_Under_the_Microscope.pdf
McAfee. (2017). Grand Theft Data - Data exfiltration study: Actors, tactics, and detection. McAfee.
Retrieved from https://www.mcafee.com/enterprise/en-us/assets/reports/rp-data-
exfiltration.pdf
McAfee. (2019). Grand Theft Data II: The Drivers and Shifting State of Data Breaches. McAfee. Retrieved
from https://www.mcafee.com/enterprise/en-us/assets/reports/restricted/rp-data-exfiltration-
2.pdf
Michael Dymshits, D. T. (2017). USA Patent No. US10915629B2. Retrieved from
https://patents.google.com/patent/US10915629B2/en
Nadler, A., Aminov, A., & Shabtai, A. (2019). Detection of Malicious and Low Throughput Data Exfiltration
Over the DNS Protocol. Computers & Security, 36-53. Retrieved from
https://www.sciencedirect.com/science/article/pii/S0167404818304000
![Page 61: Data Exfiltration 101 - Basics & DNS Tunnelling](https://reader031.vdocuments.mx/reader031/viewer/2022012516/618fa9432c05c94577722e73/html5/thumbnails/61.jpg)
Data Exfiltration 101 - Basics & DNS Tunnelling www.DigitalWhisper.co.il
61 2021 ืืืืืกื ,132ืืืืื
Naotake Ishikura, D. K. (2021, June). DNS Tunneling Detection by Cache-Property-Aware Features. IEEE
Transactions on Network and Service Management, 18, 1203-1217.
doi:10.1109/TNSM.2021.3078428
Polley, K. (2019, April 16). Detecting and Verifying ICMP Exfiltration with AI. Retrieved from PatternEx:
https://www.patternex.com/threatex/detecting-and-verifying-icmp-exfiltration-with-ai-enabled-
platform
Rowland, C. H. (1997). Covert Channels in the TCP/IP Protocol Suite. Retrieved from First Monday:
https://firstmonday.org/ojs/index.php/fm/article/view/528/449
Stamp, M., Alazab, M., & Shalaginov, A. (2021). Malware Analysis Using Artificial Intelligence and Deep
Learning. Springer.
Trend Micro. (2014, Septamber 9). ANDROMEDA. Retrieved from Threat Encyclopedia:
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/andromeda
Trend Micro Threat Research Team. (2012). The Taidoor Campaign: An In-Depth Analysis. Cupertino: Trend
Micro. Retrieved from https://www.trendmicro.co.kr/cloud-content/us/pdfs/security-
intelligence/white-papers/wp_the_taidoor_campaign.pdf
Wikipedia. (n.d.). Covert channel. Retrieved from Wikipedia, the free encyclopedia:
https://en.wikipedia.org/wiki/Covert_channel
Wikipedia. (n.d.). Data exfiltration. Retrieved from Wikipedia, the free encyclopedia:
https://en.wikipedia.org/wiki/Data_exfiltration
Wyke, J. (2011). What is Zeus? Oxford: Sophos. Retrieved from https://www.sophos.com/fr-
fr/medialibrary/PDFs/technical-papers/Sophos-what-is-zeus-tp.pdf
Zanki, K. (2020, September). Taidoor - a truly persistent threat. Retrieved from Reversing Labs:
https://blog.reversinglabs.com/blog/taidoor-a-truly-persistent-threat