DNS-tonneling verander die domeinnaamstelsel in 'n wapen vir kuberkrakers. DNS is in wese die internet se groot telefoonboek. DNS is ook die onderliggende protokol wat administrateurs toelaat om navraag te doen oor die DNS-bedienerdatabasis. Tot dusver lyk alles duidelik. Maar slinkse kuberkrakers het besef dat hulle in die geheim met die slagofferrekenaar kan kommunikeer deur beheeropdragte en data in die DNS-protokol in te spuit. Hierdie idee is die basis van DNS-tonneling.
Hoe DNS-tonnelwerk werk
Alles op die internet het sy eie aparte protokol. En DNS-ondersteuning is relatief eenvoudig versoek-antwoord tipe. As jy wil sien hoe dit werk, kan jy nslookup, die hoofinstrument vir die maak van DNS-navrae, laat loop. Jy kan 'n adres aanvra deur bloot die domeinnaam waarin jy belangstel te spesifiseer, byvoorbeeld:
In ons geval het die protokol gereageer met die domein IP-adres. In terme van die DNS-protokol het ek 'n adresversoek of 'n sogenaamde versoek gedoen. "A" tipe. Daar is ander soorte versoeke, en die DNS-protokol sal reageer met 'n ander stel datavelde, wat, soos ons later sal sien, deur kuberkrakers uitgebuit kan word.
Op een of ander manier, in sy kern, is die DNS-protokol gemoeid met die oordrag van 'n versoek na die bediener en die reaksie daarvan terug na die kliënt. Wat as 'n aanvaller 'n versteekte boodskap in 'n domeinnaamversoek byvoeg? Byvoorbeeld, in plaas daarvan om 'n heeltemal wettige URL in te voer, sal hy die data invoer wat hy wil oordra:
Kom ons sê 'n aanvaller beheer die DNS-bediener. Dit kan dan data versend—persoonlike data, byvoorbeeld—sonder dat dit noodwendig opgespoor word. Per slot van rekening, hoekom sou 'n DNS-navraag skielik iets onwettigs word?
Deur die bediener te beheer, kan hackers antwoorde smee en data terugstuur na die teikenstelsel. Dit stel hulle in staat om boodskappe wat in verskillende velde van die DNS-reaksie op die wanware op die besmette masjien versteek is, deur te gee, met instruksies soos om in 'n spesifieke vouer te soek.
Die "tonneling" deel van hierdie aanval is data en opdragte van opsporing deur moniteringstelsels. Kuberkrakers kan base32, base64, ens. karakterstelle gebruik, of selfs die data enkripteer. Sulke enkodering sal ongemerk verbygaan deur eenvoudige bedreigingsopsporingshulpmiddels wat die gewone teks deursoek.
En dit is DNS-tonnelwerk!
Geskiedenis van DNS-tonnelaanvalle
Alles het 'n begin, insluitend die idee om die DNS-protokol vir inbraakdoeleindes te kaap. Sover ons kan sê, die eerste Hierdie aanval is in April 1998 deur Oskar Pearson op die Bugtraq-poslys uitgevoer.
Teen 2004 is DNS-tonneling by Black Hat bekendgestel as 'n inbraaktegniek in 'n aanbieding deur Dan Kaminsky. Die idee het dus baie vinnig gegroei tot 'n regte aanvalsinstrument.
Vandag neem DNS-tonneling 'n selfversekerde posisie op die kaart in (en inligtingsekuriteitsbloggers word dikwels gevra om dit te verduidelik).
Het jy al gehoor van ? Dit is 'n voortdurende veldtog deur kuberkriminele groepe - heel waarskynlik staatsgeborg - om wettige DNS-bedieners te kaap om DNS-versoeke na hul eie bedieners te herlei. Dit beteken dat organisasies "slegte" IP-adresse sal ontvang wat verwys na vals webblaaie wat deur kuberkrakers, soos Google of FedEx, bestuur word. Terselfdertyd sal aanvallers gebruikersrekeninge en wagwoorde kan bekom, wat dit onwetend op sulke vals werwe sal invoer. Dit is nie DNS-tonneling nie, maar net nog 'n ongelukkige gevolg van hackers wat DNS-bedieners beheer.
DNS-tonnelbedreigings
DNS-tonnel is soos 'n aanduiding van die begin van die slegte nuus stadium. Watter een? Ons het reeds oor verskeie gepraat, maar kom ons struktureer hulle:
- Data-uitvoer (eksfiltrasie) – 'n hacker stuur in die geheim kritieke data oor DNS. Dit is beslis nie die mees doeltreffende manier om inligting van die slagoffer se rekenaar oor te dra nie – met inagneming van al die kostes en enkoderings – maar dit werk, en terselfdertyd – in die geheim!
- Bevel en beheer (afgekort C2) - hackers gebruik die DNS-protokol om eenvoudige beheeropdragte te stuur deur byvoorbeeld, (Remote Access Trojan, afgekort RAT).
- IP-oor-DNS-tonneling - Dit klink dalk mal, maar daar is nutsprogramme wat 'n IP-stapel bo-op DNS-protokolversoeke en -antwoorde implementeer. Dit maak data-oordrag met behulp van FTP, Netcat, ssh, ens. 'n relatief eenvoudige taak. Uiters onheilspellend!
Bespeur tans DNS-tonnelvorming
Daar is twee hoofmetodes om DNS-misbruik op te spoor: vraganalise en verkeersanalise.
op las analise Die verdedigende party soek afwykings in die data wat heen en weer gestuur word wat deur statistiese metodes opgespoor kan word: gasheername wat vreemd lyk, 'n DNS-rekordtipe wat nie so gereeld gebruik word nie, of nie-standaard enkodering.
op verkeer analise Die aantal DNS-versoeke na elke domein word beraam in vergelyking met die statistiese gemiddelde. Aanvallers wat DNS-tonneling gebruik, sal 'n groot hoeveelheid verkeer na die bediener genereer. In teorie, aansienlik beter as normale DNS-boodskapuitruiling. En dit moet gemonitor word!
DNS-tonnelhulpprogramme
As jy jou eie pentest wil doen en sien hoe goed jou maatskappy sulke aktiwiteite kan opspoor en daarop reageer, is daar verskeie hulpmiddels hiervoor. Almal van hulle kan in die modus tonnel IP-oor-DNS:
- – beskikbaar op baie platforms (Linux, Mac OS, FreeBSD en Windows). Laat jou toe om 'n SSH-dop tussen die teiken- en beheerrekenaars te installeer. Dis 'n goeie een oor die opstel en gebruik van jodium.
- – DNS-tonnelprojek van Dan Kaminsky, geskryf in Perl. U kan dit via SSH koppel.
- - "DNS-tonnel wat jou nie siek maak nie." Skep 'n geënkripteerde C2-kanaal vir die stuur/aflaai van lêers, die bekendstelling van skulpe, ens.
DNS-moniteringhulpmiddels
Hieronder is 'n lys van verskeie nutsprogramme wat nuttig sal wees om tonnelaanvalle op te spoor:
- – Python-module geskryf vir MercenaryHuntFramework en Mercenary-Linux. Lees .pcap-lêers, onttrek DNS-navrae en voer geoligging-kartering uit om te help met ontleding.
- – 'n Python-nutsding wat .pcap-lêers lees en DNS-boodskappe ontleed.
Mikro-vrae oor DNS-tonnels
Nuttige inligting in die vorm van vrae en antwoorde!
V: Wat is tonnel?
OOR: Dit is bloot 'n manier om data oor 'n bestaande protokol oor te dra. Die onderliggende protokol verskaf 'n toegewyde kanaal of tonnel, wat dan gebruik word om die inligting wat werklik versend word, te verberg.
V: Wanneer is die eerste DNS-tonnelaanval uitgevoer?
OOR: Ons weet nie! As jy weet, laat weet ons asseblief. Sover ons weet, is die eerste bespreking van die aanval in April 1998 deur Oscar Piersan in die Bugtraq-poslys geïnisieer.
V: Watter aanvalle is soortgelyk aan DNS-tonnel?
OOR: DNS is ver van die enigste protokol wat vir tonnel gebruik kan word. Byvoorbeeld, opdrag en beheer (C2) wanware gebruik dikwels HTTP om die kommunikasiekanaal te masker. Soos met DNS-tonneling, verberg die hacker sy data, maar in hierdie geval lyk dit soos verkeer vanaf 'n gewone webblaaier wat toegang tot 'n afgeleë werf kry (beheer deur die aanvaller). Dit kan onopgemerk bly deur programme te moniteer as hulle nie opgestel is om waar te neem nie misbruik van die HTTP-protokol vir hackerdoeleindes.
Wil jy hê ons moet help met DNS-tonnelopsporing? Kyk na ons module en probeer dit gratis !
Bron: will.com