El túnel DNS converteix el sistema de noms de domini en l'arma d'un pirata informàtic. El DNS és essencialment la gran agenda telefònica d'Internet. DNS també és el protocol subjacent que permet als administradors consultar la base de dades del servidor DNS. Fins aquí tot sembla clar. Però els pirates informàtics astuts s'han adonat que és possible comunicar-se amb l'ordinador víctima de manera encoberta injectant ordres de control i dades al protocol DNS. Aquesta és la idea darrere del túnel DNS.
Com funciona el túnel DNS
Hi ha un protocol separat per a tot a Internet. I DNS manté una manera relativament senzilla tipus de petició-resposta. Si voleu veure com funciona, podeu executar nslookup, la principal eina de consulta de DNS. Podeu sol·licitar una adreça simplement introduint el nom de domini que us interessa, per exemple:
En el nostre cas, el protocol va respondre amb una adreça IP de domini. Pel que fa al protocol DNS, vaig fer una sol·licitud d'adreça o una anomenada. tipus "A". Hi ha altres tipus de consultes, i el protocol DNS respondrà amb un conjunt diferent de camps de dades que, com veurem més endavant, poden ser utilitzats pels pirates informàtics.
D'una manera o altra, en el seu nucli, el protocol DNS consisteix a enviar una sol·licitud al servidor i la seva resposta al client. Què passa si un atacant afegeix un missatge ocult dins d'una sol·licitud de nom de domini? Per exemple, en lloc d'introduir un URL perfectament legítim, introduirà les dades que vol transmetre:
Suposem que un atacant controla el servidor DNS. Aleshores pot transmetre dades -per exemple, dades personals- i no necessàriament seran detectades. Després de tot, per què una consulta DNS esdevindria de sobte alguna cosa il·legítima?
En controlar el servidor, els pirates informàtics poden forjar respostes i enviar dades al sistema objectiu. Això els permet passar missatges ocults en diversos camps de la resposta del DNS al programari maliciós de la màquina infectada, amb instruccions com ara cercar dins d'una carpeta específica.
La part de "túnel" d'aquest atac és dades i ordres procedents de la detecció per sistemes de monitorització. Els pirates informàtics poden utilitzar els conjunts de caràcters base32, base64, etc., o fins i tot xifrar les dades. Aquesta codificació passarà desapercebuda per les utilitats simples de detecció d'amenaces que cerquen en text sense format.
I això és el que és el túnel DNS!
Historial d'atacs mitjançant túnel DNS
Tot té un principi, inclosa la idea de segrestar el protocol DNS amb finalitats de pirates informàtics. Pel que podem dir, el primer aquest atac va ser dut a terme per Oskar Pearson a la llista de correu Bugtraq l'abril de 1998.
El 2004, el túnel DNS s'estava introduint a Black Hat com una tècnica hacker en una presentació de Dan Kaminsky. Així, la idea es va convertir molt ràpidament en una autèntica eina d'atac.
Avui, el túnel DNS ocupa una posició forta al mapa (i sovint se'ls demana als blocaires de seguretat que ho expliquin).
Has sentit a parlar ? Aquesta és una campanya en curs de ciberdelinqüents, probablement patrocinada per l'estat, per fer-se càrrec dels servidors DNS legítims per redirigir les sol·licituds de DNS als seus propis servidors. Això significa que les organitzacions rebran adreces IP "dolentes" que apunten a pàgines web falses gestionades per pirates informàtics, com ara Google o FedEx. En aquest cas, els atacants podran obtenir els comptes i les contrasenyes dels usuaris que, sense saber-ho, les introdueixen en aquests llocs falsos. Això no és un túnel DNS, sinó una altra conseqüència desagradable del control dels pirates informàtics dels servidors DNS.
Amenaces de túnel DNS
El túnel DNS és com un indicador de l'inici de l'etapa de les males notícies. Quines? Ja n'hem parlat d'uns quants, però anem a estructurar-los:
- Sortida de dades (exfiltració) – un pirata informàtic transfereix de manera encoberta dades crítiques a través de DNS. Definitivament, aquesta no és la manera més eficient de transferir informació des de l'ordinador de la víctima, tenint en compte tots els costos i codificacions, però funciona, i alhora, de manera discreta!
- Comandament i control (C2 per abreujar) - Els pirates informàtics utilitzen el protocol DNS per enviar ordres de control senzilles, per exemple, a través (Troià d'accés remot, RAT per abreviar).
- Tunneling IP-Over-DNS - Això pot semblar una bogeria, però hi ha utilitats que implementen una pila IP a la part superior de les sol·licituds i respostes del protocol DNS. Això fa la transferència de dades mitjançant FTP, Netcat, ssh, etc. tasca relativament senzilla. Extremadament sinistre!
Detecció de túnels DNS
Hi ha dos mètodes principals per detectar l'abús de DNS: anàlisi de càrrega i anàlisi de trànsit.
En anàlisi de càrrega la part defensora busca anomalies en les dades enviades d'anada i tornada que es poden detectar mitjançant mètodes estadístics: noms d'amfitrió d'aspecte estrany, un tipus de registre DNS que no s'utilitza amb tanta freqüència o una codificació no estàndard.
En anàlisi del trànsit el nombre de peticions DNS a cada domini s'estima en comparació amb el nivell mitjà. Els atacants que utilitzen el túnel DNS generaran molt de trànsit al servidor. En teoria, molt superior a la missatgeria DNS normal. I s'ha de fer un seguiment!
Utilitats de túnel DNS
Si voleu realitzar la vostra pròpia prova de penetració i veure com de bé la vostra empresa pot detectar i respondre a aquesta activitat, hi ha diverses utilitats per a això. Tots ells poden túnel en mode IP sobre DNS:
- – disponible en moltes plataformes (Linux, Mac OS, FreeBSD i Windows). Us permet instal·lar un shell SSH entre l'ordinador de destinació i de control. Aquí n'hi ha un de bo sobre la configuració i l'ús de iode.
- és el projecte de túnel DNS de Dan Kaminsky, escrit en Perl. Podeu connectar-hi amb SSH.
- "Un túnel DNS que no et fa malalt". Crea un canal C2 xifrat per carregar/descarregar fitxers, llançar shells, etc.
Utilitats de monitorització de DNS
A continuació es mostra una llista de diverses utilitats que seran útils per detectar atacs de túnel:
- - Mòdul Python escrit per a MercenaryHuntFramework i Mercenary-Linux. Llegeix fitxers .pcap, extreu consultes DNS i realitza la concordança de geolocalització per ajudar en l'anàlisi.
- és una utilitat de Python que llegeix fitxers .pcap i analitza missatges DNS.
Micro PMF sobre túnels DNS
Informació útil en forma de preguntes i respostes!
P: Què és el túnel?
SOBRE: És només una manera de transferir dades a través d'un protocol existent. El protocol subjacent proporciona un canal o túnel dedicat, que després s'utilitza per ocultar la informació que realment s'està transmetent.
P: Quan es va dur a terme el primer atac de túnel DNS?
SOBRE: No ho sabem! Si ho saps, fes-nos-ho saber. Segons el que sabem, la primera discussió sobre l'atac va ser iniciada per Oscar Pearsan a la llista de correu Bugtraq l'abril de 1998.
P: Quins atacs són similars al túnel DNS?
SOBRE: DNS està lluny de ser l'únic protocol que es pot utilitzar per fer túnels. Per exemple, el programari maliciós de comandament i control (C2) sovint utilitza HTTP per emmascarar el canal de comunicació. Igual que amb el túnel DNS, el pirata informàtic amaga les seves dades, però en aquest cas sembla que el trànsit d'un navegador web normal accedeix a un lloc remot (controlat per l'atacant). Això pot passar desapercebut pels programes de seguiment si no estan configurats per percebre abús del protocol HTTP amb finalitats de pirates informàtics.
Voleu que us ajudem amb la detecció de túnels DNS? Consulta el nostre mòdul i prova gratis !
Font: www.habr.com