DNS tunelləri domen adı sistemini haker silahına çevirir. DNS əslində İnternetin nəhəng telefon kitabçasıdır. DNS həm də idarəçilərə DNS server verilənlər bazasını sorğulamağa imkan verən əsas protokoldur. İndiyə qədər hər şey aydın görünür. Amma hiyləgər hakerlər başa düşüblər ki, DNS protokoluna idarəetmə əmrləri və verilənləri yeritməklə zərərçəkmiş kompüterlə gizli əlaqə saxlamaq mümkündür. Bu, DNS tunelinin arxasında duran fikirdir.
DNS tunelləmə necə işləyir
İnternetdə hər şey üçün ayrıca protokol var. Və DNS nisbətən sadə saxlayır sorğu-cavab növü. Bunun necə işlədiyini görmək istəyirsinizsə, əsas DNS sorğu aləti olan nslookup-u işə sala bilərsiniz. Siz sadəcə maraqlandığınız domen adını daxil etməklə ünvan tələb edə bilərsiniz, məsələn:
Bizim vəziyyətimizdə protokol bir domen IP ünvanı ilə cavab verdi. DNS protokolu baxımından bir ünvan və ya sözdə bir sorğu etdim. "A" tipli. Sorğuların başqa növləri də var və DNS protokolu daha sonra görəcəyimiz kimi hakerlər tərəfindən istifadə oluna bilən fərqli məlumat sahələri dəsti ilə cavab verəcək.
Bu və ya digər şəkildə, DNS protokolu serverə sorğu göndərmək və müştəriyə cavab verməkdən ibarətdir. Təcavüzkar domen adı sorğusuna gizli mesaj əlavə edərsə nə etməli? Məsələn, mükəmməl qanuni URL daxil etmək əvəzinə, ötürmək istədiyi məlumatları daxil edəcək:
Tutaq ki, təcavüzkar DNS serverinə nəzarət edir. Sonra o, məlumatları ötürə bilər - məsələn, şəxsi məlumatları - və mütləq aşkarlanmayacaq. Axı, niyə bir DNS sorğusu birdən-birə qeyri-qanuni bir şeyə çevrilir?
Serverə nəzarət etməklə hakerlər cavabları saxtalaşdıra və məlumatları hədəf sistemə geri göndərə bilərlər. Bu, onlara DNS cavabının müxtəlif sahələrində gizlənmiş mesajları müəyyən bir qovluq daxilində axtarış kimi təlimatlarla yoluxmuş maşındakı zərərli proqrama ötürməyə imkan verir.
Bu hücumun "tunel" hissəsidir monitorinq sistemləri tərəfindən aşkarlanan məlumatlar və əmrlər. Hakerlər base32, base64 və s. simvol dəstlərindən istifadə edə və ya hətta məlumatları şifrələyə bilərlər. Bu cür kodlaşdırma sadə mətndə axtarış aparan sadə təhlükə aşkarlama yardımçıları tərəfindən nəzərə alınmadan keçəcək.
Və DNS tunelləmə budur!
DNS tunel vasitəsilə hücumların tarixi
Hər şeyin başlanğıcı var, o cümlədən DNS protokolunu haker məqsədləri üçün oğurlamaq ideyası. Deyə bildiyimiz qədər birincisi belə bir hücum 1998-ci ilin aprelində Bugtraq poçt siyahısında Oskar Pearson tərəfindən həyata keçirilmişdir.
2004-cü ilə qədər DNS tunelləmə Dan Kaminskinin təqdimatında Black Hat-a hiyləgər bir texnika kimi təqdim edildi. Beləliklə, ideya çox tez bir zamanda əsl hücum vasitəsinə çevrildi.
Bu gün DNS tunelləmə xəritədə güclü mövqe tutur (və təhlükəsizlik bloggerlərindən tez-tez bunu izah etmələri xahiş olunur).
Haqqında eşitmisiniz ? Bu, DNS sorğularını öz serverlərinə yönləndirmək üçün qanuni DNS serverlərini ələ keçirmək üçün kibercinayətkarlar tərəfindən - çox güman ki, dövlət tərəfindən dəstəklənən - davam edən kampaniyadır. Bu o deməkdir ki, təşkilatlar Google və ya FedEx kimi hakerlər tərəfindən idarə olunan saxta veb səhifələrə işarə edən "pis" IP ünvanları alacaqlar. Bu halda təcavüzkarlar belə saxta saytlara bilmədən daxil olan istifadəçilərin hesablarını və parollarını əldə edə biləcəklər. Bu, DNS tunelləmə deyil, DNS serverlərinə haker nəzarətinin başqa bir pis nəticəsidir.
DNS Tunel Təhdidləri
DNS tunelləmə pis xəbər mərhələsinin başlanğıcının göstəricisi kimidir. Hansılar? Artıq bir neçəsi haqqında danışdıq, amma gəlin onları strukturlaşdıraq:
- Məlumat çıxışı (exfiltrasiya) – haker gizli şəkildə kritik məlumatları DNS üzərindən ötürür. Bu, şübhəsiz ki, zərərçəkmiş kompüterdən məlumat ötürmək üçün ən səmərəli yol deyil - bütün xərclər və kodlaşdırmalar nəzərə alınmaqla - lakin işləyir və eyni zamanda - təmkinli!
- Command and Control (qısaca C2) - hakerlər sadə idarəetmə əmrlərini, məsələn, vasitəsilə göndərmək üçün DNS protokolundan istifadə edirlər (Remote Access Trojan, qısaca RAT).
- IP-DNS üzərində tunel - bu çılğın səslənə bilər, lakin DNS protokolu sorğuları və cavabları üzərində IP yığınını həyata keçirən kommunal proqramlar var. Bu, FTP, Netcat, ssh və s. istifadə edərək məlumat ötürülməsini təmin edir. nisbətən sadə tapşırıq. Son dərəcə pis!
DNS tunel aşkarlanması
DNS sui-istifadəsini aşkar etmək üçün iki əsas üsul var: yük təhlili və trafik təhlili.
Hazırda yük analizi müdafiə edən tərəf irəli-geri göndərilən məlumatlarda statistik üsullarla aşkar edilə bilən anomaliyaları axtarır: qəribə görünüşlü host adları, tez-tez istifadə olunmayan DNS qeydinin növü və ya qeyri-standart kodlaşdırma.
Hazırda trafik təhlili hər bir domen üçün DNS sorğularının sayı orta səviyyə ilə müqayisədə qiymətləndirilir. DNS tunelindən istifadə edən hücumçular serverə çoxlu trafik yaradacaqlar. Teorik olaraq, normal DNS mesajlaşmasından çox üstündür. Və onu izləmək lazımdır!
DNS Tunel Utilities
Öz nüfuz testinizi keçirmək və şirkətinizin bu cür fəaliyyətləri nə qədər yaxşı aşkar edib cavab verə biləcəyini görmək istəyirsinizsə, bunun üçün bir neçə yardım proqramı var. Onların hamısı rejimdə tunel edə bilər DNS üzərindən IP:
- – bir çox platformada mövcuddur (Linux, Mac OS, FreeBSD və Windows). Hədəf və nəzarət kompüteri arasında SSH qabığını quraşdırmağa imkan verir. Budur yaxşı biri Yodun qurulması və istifadəsi haqqında.
- Dan Kaminsky tərəfindən Perl dilində yazılmış DNS tunel layihəsidir. Onunla SSH vasitəsilə əlaqə saxlaya bilərsiniz.
- "Sizi xəstə etməyən bir DNS tuneli." Faylların yüklənməsi/endirilməsi, qabıqların işə salınması və s. üçün şifrələnmiş C2 kanalı yaradır.
DNS Monitorinq Utilities
Aşağıda tunel hücumlarını aşkar etmək üçün faydalı olacaq bir neçə yardımçı proqramların siyahısı verilmişdir:
- - MercenaryHuntFramework və Mercenary-Linux üçün yazılmış Python modulu. .pcap fayllarını oxuyur, DNS sorğularını çıxarır və təhlilə kömək etmək üçün geolokasiya uyğunluğunu həyata keçirir.
- .pcap fayllarını oxuyan və DNS mesajlarını təhlil edən Python yardım proqramıdır.
DNS tunelinə dair mikro tez-tez verilən suallar
Sual-cavab şəklində faydalı məlumatlar!
S: Tunel nədir?
HAQQINDA: Bu, sadəcə mövcud protokol üzərindən məlumat ötürmək üçün bir yoldur. Əsas protokol xüsusi bir kanal və ya tunel təmin edir, daha sonra əslində ötürülən məlumatı gizlətmək üçün istifadə olunur.
S: İlk DNS tunel hücumu nə vaxt həyata keçirilib?
HAQQINDA: Biz bilmirik! Bilən varsa bizə bildirsin. Bildiyimiz qədər, hücumun ilk müzakirəsi 1998-ci ilin aprelində Bugtraq poçt siyahısında Oscar Pearsan tərəfindən başladılıb.
S: Hansı hücumlar DNS tunelinə bənzəyir?
HAQQINDA: DNS tunel üçün istifadə edilə bilən yeganə protokoldan uzaqdır. Məsələn, komanda və idarəetmə (C2) zərərli proqram təminatı rabitə kanalını maskalamaq üçün tez-tez HTTP-dən istifadə edir. DNS tunelində olduğu kimi, haker öz məlumatlarını gizlədir, lakin bu halda uzaq bir sayta daxil olan adi veb-brauzerdən gələn trafikə bənzəyir (təcavüzkar tərəfindən idarə olunur). Əgər onlar qəbul etmək üçün konfiqurasiya edilməmişlərsə, bu, monitorinq proqramları tərəfindən diqqətdən kənarda qala bilər haker məqsədləri üçün HTTP protokolundan sui-istifadə.
DNS tunelinin aşkarlanmasında sizə kömək etməyimizi istərdinizmi? Modulumuzu yoxlayın və pulsuz cəhd edin !
Mənbə: www.habr.com