Ang DNS tunneling naghimo sa sistema sa ngalan sa domain nga usa ka hinagiban alang sa mga hacker. Ang DNS mao ang hinungdanon nga libro sa telepono sa Internet. Ang DNS mao usab ang nagpahiping protocol nga nagtugot sa mga tagdumala sa pagpangutana sa database sa DNS server. Hangtod karon klaro ang tanan. Apan ang tuso nga mga hacker nakaamgo nga sila sekretong makigkomunikar sa biktima nga kompyuter pinaagi sa pag-inject sa mga control command ug data ngadto sa DNS protocol. Kini nga ideya mao ang sukaranan sa DNS tunneling.
Giunsa pagtrabaho ang DNS tunneling
Ang tanan sa Internet adunay kaugalingon nga bulag nga protocol. Ug ang suporta sa DNS medyo yano hangyo-tubag nga matang. Kung gusto nimo tan-awon kung giunsa kini molihok, mahimo nimong ipadagan ang nslookup, ang panguna nga himan alang sa paghimo sa mga pangutana sa DNS. Makapangayo ka ug adres pinaagi lang sa pagpiho sa ngalan sa domain nga gusto nimo, pananglitan:
Sa among kaso, ang protocol mitubag sa domain IP address. Sa termino sa DNS protocol, naghimo ko og address request o gitawag nga request. "A" nga tipo. Adunay uban nga mga matang sa mga hangyo, ug ang DNS protocol motubag uban sa usa ka lain-laing mga set sa data field, nga, ingon sa atong makita sa ulahi, mahimong mapahimuslan sa mga hacker.
Usa ka paagi o lain, sa kinauyokan niini, ang DNS protocol nabalaka sa pagpadala sa usa ka hangyo sa server ug ang tubag niini balik sa kliyente. Unsa kaha kung ang usa ka tig-atake magdugang usa ka tinago nga mensahe sa sulod sa usa ka hangyo sa ngalan sa domain? Pananglitan, imbes nga mosulod sa hingpit nga lehitimong URL, iyang isulod ang datos nga gusto niyang ipadala:
Ingnon ta nga usa ka tig-atake ang nagkontrol sa DNS server. Makapadala dayon kini ug datosβpersonal nga datos, pananglitanβnga dili kinahanglan nga mamatikdan. Human sa tanan, nganong ang pangutana sa DNS kalit nga mahimong usa ka butang nga dili lehitimo?
Pinaagi sa pagpugong sa server, ang mga hacker makahimo og mga tubag ug magpadala og data balik sa target nga sistema. Kini nagtugot kanila sa pagpasa sa mga mensahe nga gitago sa lain-laing natad sa DNS nga tubag sa malware sa nataptan nga makina, uban sa mga instruksyon sama sa pagpangita sulod sa usa ka piho nga folder.
Ang "tunneling" nga bahin niini nga pag-atake mao ang data ug mga sugo gikan sa detection pinaagi sa monitoring systems. Ang mga hacker mahimong mogamit sa base32, base64, ug uban pa nga mga set sa karakter, o bisan sa pag-encrypt sa datos. Ang ingon nga pag-encode moagi nga dili mamatikdan sa yano nga mga gamit sa pagtuki sa hulga nga nangita sa plaintext.
Ug kini ang DNS tunneling!
Kasaysayan sa pag-atake sa DNS tunneling
Ang tanan adunay sinugdanan, lakip ang ideya sa pag-hijack sa DNS protocol alang sa mga katuyoan sa pag-hack. Sa atong masulti, ang una Kini nga pag-atake gihimo ni Oskar Pearson sa Bugtraq mailing list niadtong Abril 1998.
Niadtong 2004, ang DNS tunneling gipaila sa Black Hat isip teknik sa pag-hack sa presentasyon ni Dan Kaminsky. Busa, ang ideya dali kaayong mitubo ngadto sa tinuod nga himan sa pag-atake.
Karon, ang DNS tunneling nag-okupar sa usa ka masaligon nga posisyon sa mapa (ug ang mga blogger sa seguridad sa impormasyon kanunay nga gihangyo sa pagpatin-aw niini).
Nakadungog ka ba bahin sa ? Kini usa ka nagpadayon nga kampanya sa mga cybercriminal nga grupoβmalagmit gipasiugdahan sa estadoβaron i-hijack ang mga lehitimong DNS server aron ma-redirect ang mga hangyo sa DNS sa ilang kaugalingong mga server. Kini nagpasabot nga ang mga organisasyon makadawat og "dili maayo" nga mga IP address nga nagpunting sa peke nga mga web page nga gipadagan sa mga hacker, sama sa Google o FedEx. Sa parehas nga oras, ang mga tig-atake makakuha mga account sa gumagamit ug mga password, nga wala nahibal-an nga mosulod niini sa ingon nga mga peke nga site. Dili kini DNS tunneling, apan usa lamang ka dili maayo nga sangputanan sa mga hacker nga nagkontrol sa mga DNS server.
Mga hulga sa DNS tunneling
Ang DNS tunneling sama sa usa ka timailhan sa pagsugod sa dili maayo nga yugto sa balita. Hain niini? Nahisgotan na nato ang pipila, apan atong gambalay sila:
- Output sa datos (exfiltration) - ang usa ka hacker sekreto nga nagpadala sa kritikal nga datos sa DNS. Kini mao ang siguradong dili ang labing episyente nga paagi sa pagbalhin sa impormasyon gikan sa biktima nga kompyuter - nga gikonsiderar ang tanan nga mga gasto ug mga pag-encode - apan kini molihok, ug sa samang higayon - sa tago!
- Command ug Control (gipamubo nga C2) - gigamit sa mga hacker ang DNS protocol aron ipadala ang yano nga mga mando sa pagkontrol pinaagi, ingon, (Remote Access Trojan, pinamubo nga RAT).
- IP-Over-DNS Tunneling - Mahimong buang kini, apan adunay mga kagamitan nga nagpatuman sa usa ka IP stack sa ibabaw sa mga hangyo ug tubag sa DNS protocol. Naghimo kini sa pagbalhin sa datos gamit ang FTP, Netcat, ssh, ug uban pa. medyo simple nga buluhaton. Makalilisang kaayo!
Pag-ila sa DNS tunneling
Adunay duha ka nag-unang mga pamaagi sa pag-ila sa pag-abuso sa DNS: pagtuki sa load ug pagtuki sa trapiko.
sa pagtuki sa load Ang nagdepensa nga partido nangita alang sa mga anomaliya sa mga datos nga gipadala balik-balik nga mamatikdan sa mga pamaagi sa istatistika: katingad-an nga mga ngalan sa host, usa ka tipo sa rekord sa DNS nga dili kanunay gigamit, o dili standard nga pag-encode.
sa pagtuki sa trapiko Ang gidaghanon sa mga hangyo sa DNS sa matag domain gibanabana kon itandi sa istatistikal nga average. Ang mga tig-atake nga naggamit sa DNS tunneling makamugna og daghang trapiko sa server. Sa teorya, labi ka labaw sa normal nga pagbinayloay sa mensahe sa DNS. Ug kini kinahanglan nga bantayan!
Mga gamit sa DNS tunneling
Kung gusto nimo nga magpahigayon sa imong kaugalingon nga pentest ug tan-awon kung unsa ka maayo ang imong kompanya nga makamatikod ug makatubag sa ingon nga kalihokan, adunay daghang mga gamit alang niini. Tanan sila mahimong tunnel sa mode IP-Over-DNS:
- β anaa sa daghang mga plataporma (Linux, Mac OS, FreeBSD ug Windows). Nagtugot kanimo sa pag-instalar sa usa ka SSH nga kabhang tali sa target ug pagkontrol sa mga kompyuter. Kana usa ka maayo sa pag-set up ug paggamit sa Iodine.
- - Proyekto sa tunneling sa DNS gikan sa Dan Kaminsky, gisulat sa Perl. Mahimo nimong makonektar kini pinaagi sa SSH.
- - "DNS tunnel nga dili makapasakit kanimo." Naghimo usa ka naka-encrypt nga channel sa C2 alang sa pagpadala / pag-download sa mga file, paglansad sa mga shell, ug uban pa.
Mga gamit sa pag-monitor sa DNS
Sa ubos usa ka lista sa daghang mga utilities nga magamit sa pag-ila sa mga pag-atake sa tunneling:
- - Ang module sa Python nga gisulat alang sa MercenaryHuntFramework ug Mercenary-Linux. Nagbasa sa .pcap nga mga file, nagkuha sa mga pangutana sa DNS ug nagpahigayon og geolocation mapping aron makatabang sa pagtuki.
- β usa ka Python utility nga nagbasa sa .pcap files ug nag-analisar sa mga mensahe sa DNS.
Micro FAQ sa DNS tunneling
Mapuslanon nga impormasyon sa porma sa mga pangutana ug tubag!
P: Unsa ang tunneling?
About: Kini usa lamang ka paagi sa pagbalhin sa datos sa usa ka kasamtangan nga protocol. Ang nagpahiping protocol naghatag og usa ka dedikado nga channel o tunel, nga gigamit sa pagtago sa impormasyon nga tinuod nga gipasa.
P: Kanus-a gihimo ang unang pag-atake sa DNS tunneling?
About: Wala mi kabalo! Kung nahibal-an nimo, palihug ipahibalo kanamo. Sa labing maayo sa among kahibalo, ang unang diskusyon sa pag-atake gisugdan ni Oscar Piersan sa Bugtraq mailing list niadtong Abril 1998.
P: Unsang mga pag-atake ang susama sa DNS tunneling?
About: Ang DNS layo sa bugtong protocol nga magamit alang sa tunneling. Pananglitan, ang command and control (C2) malware kanunay nga naggamit sa HTTP aron i-mask ang channel sa komunikasyon. Sama sa DNS tunneling, gitago sa hacker ang iyang data, apan sa kini nga kaso kini sama sa trapiko gikan sa usa ka regular nga web browser nga nag-access sa usa ka hilit nga site (kontrolado sa tig-atake). Mahimong dili kini mamatikdan pinaagi sa pag-monitor sa mga programa kung wala kini gi-configure aron mahibal-an pag-abuso sa HTTP protocol alang sa mga katuyoan sa hacker.
Gusto ka ba nga kami motabang sa DNS tunnel detection? Tan-awa ang among module ug sulayi kini nga libre !
Source: www.habr.com