Tunnel DNS trasforma u sistema di nomi di duminiu in un'arma per i pirate. DNS hè essenzialmente l'enorme libru telefuninu di Internet. DNS hè ancu u protokollu sottostante chì permette à l'amministratori di dumandà a basa di dati di u servitore DNS. Finu a ora tuttu pare chjaru. Ma i pirate astuti anu capitu chì puderanu cumunicà segretamente cù l'urdinatore vittima injecting cumandamenti di cuntrollu è dati in u protocolu DNS. Questa idea hè a basa di u tunneling DNS.
Cumu funziona u tunneling DNS
Tuttu in Internet hà u so propiu protocolu separatu. È u supportu DNS hè relativamente simplice tipu di dumanda-risposta. Se vulete vede cumu funziona, pudete eseguisce nslookup, u strumentu principale per fà e dumande DNS. Pudete dumandà un indirizzu solu per specificà u nome di duminiu chì site interessatu, per esempiu:
In u nostru casu, u protocolu hà rispostu cù l'indirizzu IP di u duminiu. In quantu à u protocolu DNS, aghju fattu una dumanda di indirizzu o una dumanda chjamata. Tipu "A". Ci sò altri tipi di dumande, è u protokollu DNS risponderà cù un altru settore di campi di dati, chì, cum'è avemu vistu dopu, ponu esse sfruttati da i pirate.
Un modu o un altru, in u so core, u protokollu DNS hè preoccupatu di trasmette una dumanda à u servitore è a so risposta torna à u cliente. E se un attaccu aghjunghje un missaghju oculatu in una dumanda di nome di duminiu? Per esempiu, invece di inserisce un URL cumpletamente legittimu, entrerà i dati chì vole trasmette:
Diciamu chì un attaccu cuntrolla u servitore DNS. Puderà tandu trasmette dati - dati persunali, per esempiu - senza necessariamente esse rilevatu. Dopu tuttu, perchè una dumanda DNS diventerà subitu qualcosa illegittima?
Per cuntrullà u servitore, i pirate ponu falsificà risposte è rinvià e dati à u sistema di destinazione. Questu li permette di trasmette missaghji nascosti in parechji campi di a risposta DNS à malware nantu à a macchina infettata, cù struzzioni cum'è a ricerca in un cartulare specificu.
A parte "tunneling" di questu attaccu hè dati è cumandamenti da a rilevazione da i sistemi di surviglianza. I pirate ponu aduprà set di caratteri base32, base64, etc., o ancu criptate e dati. Una tale codificazione passerà senza esse rilevata da semplici utilità di rilevazione di minacce chì cercanu u testu chjaru.
È questu hè u tunneling DNS!
Storia di attacchi di tunneling DNS
Tuttu hà un principiu, cumpresa l'idea di pirate u protocolu DNS per scopi di pirate. In quantu pudemu dì, u primu Stu attaccu hè statu fattu da Oskar Pearson nantu à a lista di mailing Bugtraq in April 1998.
In u 2004, u tunneling DNS hè statu introduttu in Black Hat cum'è una tecnica di pirate in una presentazione di Dan Kaminsky. Cusì, l'idea hà crisciutu assai rapidamente in un veru strumentu d'attaccu.
Oghje, u tunneling DNS occupa una pusizioni cunfidenti nantu à a mappa (è i bloggers di sicurità di l'infurmazioni sò spessu dumandati à spiegà).
Avete intesu parlà ? Questa hè una campagna in corso da i gruppi cibercriminali-probabilmente sponsorizzati da u statu-per dirottare i servitori DNS legittimi in modu di reindirizzà e dumande DNS à i so servitori. Questu significa chì l'urganisazioni riceveranu indirizzi IP "cattivi" chì puntanu à pagine web false gestite da pirate, cum'è Google o FedEx. À u listessu tempu, l'attaccanti puderanu ottene cunti d'utilizatori è password, chì senza sapè in i siti falsi. Questu ùn hè micca un tunneling DNS, ma solu una altra sfurtunata cunsequenza di i pirate chì cuntrollanu i servitori DNS.
Minacce di tunneling DNS
U tunneling DNS hè cum'è un indicatore di u principiu di a tappa di a mala nova. Quali? Avemu digià parlatu di parechji, ma strutturemu:
- Output di dati (esfiltrazione) - un pirate trasmette segretamente dati critichi nantu à DNS. Di sicuru, questu ùn hè micca u modu più efficau di trasfiriri l'infurmazioni da l'urdinatore vittima - tenendu in contu tutti i costi è e codificazioni - ma funziona, è à u stessu tempu - segretamente!
- Command and Control (abbreviatu C2) - i pirate usanu u protokollu DNS per mandà cumandamenti di cuntrollu simplici attraversu, per esempiu, (Remote Access Trojan, abbreviatu RAT).
- Tunnel IP-over-DNS - Questu pò sembra pazzo, ma ci sò utilità chì implementanu una pila IP in cima à e dumande è e risposte di protokollu DNS. Face u trasferimentu di dati cù FTP, Netcat, ssh, etc. un compitu relativamente simplice. Estremamente sinistro!
Rilevamentu di tunneling DNS
Ci hè dui metudi principali per detectà l'abusu di DNS: analisi di carica è analisi di trafficu.
à analisi di carica U partitu difendente cerca anomalie in i dati mandati avanti è avanti chì ponu esse rilevati da i metudi statistichi: nomi d'ospiti strani, un tipu di registru DNS chì ùn hè micca usatu cum'è spessu, o codificazione non standard.
à analisi di trafficu U numaru di dumande DNS à ogni duminiu hè stimatu cumparatu cù a media statistica. L'attaccanti chì utilizanu tunneling DNS generaranu una grande quantità di trafficu à u servitore. In teoria, significativamente superiore à u scambiu di missaghji DNS normale. È questu deve esse tracciatu!
Utilità di tunneling DNS
Se vulete guidà u vostru propiu pentest è vede quantu bè a vostra cumpagnia pò detectà è risponde à tali attività, ci sò parechje utilità per questu. Tutti ponu tunnellate in u modu IP-over-DNS:
- - dispunibule nantu à parechje piattaforme (Linux, Mac OS, FreeBSD è Windows). Permette di installà una cunchiglia SSH trà l'urdinatori di destinazione è di cuntrollu. Hè una bona nantu à a creazione è l'usu di l'iodu.
- - Prughjettu di tunneling DNS da Dan Kaminsky, scrittu in Perl. Pudete cunnette vi via SSH.
- - "Tunelu DNS chì ùn ti fa micca malatu". Crea un canale C2 criptatu per mandà / scaricamentu di fugliali, lanciari cunchiglia, etc.
Utilità di monitoraghju DNS
Quì sottu hè una lista di parechje utilità chì saranu utili per a deteczione di attacchi di tunneling:
- - Modulu Python scrittu per MercenaryHuntFramework è Mercenary-Linux. Leghjite i fugliali .pcap, estrae e dumande DNS è eseguite mapping di geolocalizazione per aiutà in l'analisi.
- - una utilità Python chì leghje i schedari .pcap è analizà i missaghji DNS.
Micro FAQ nantu à u tunneling DNS
Informazioni utili in forma di dumande è risposte!
Q: Chì ghjè u tunneling?
QUI: Hè solu una manera di trasfiriri dati nantu à un protokollu esistente. U protokollu sottumessu furnisce un canale o tunnel dedicatu, chì hè allora utilizatu per ammuccià l'infurmazioni chì sò trasmesse.
Q: Quandu hè statu fattu u primu attaccu di tunneling DNS?
QUI: Ùn sapemu micca ! Se sapete, fateci sapè. À a nostra cunniscenza, a prima discussione di l'attaccu hè stata iniziata da Oscar Piersan in a lista di mailing Bugtraq in April 1998.
Q: Chì attacchi sò simili à u tunneling DNS?
QUI: DNS hè luntanu da u solu protokollu chì pò esse usatu per tunneling. Per esempiu, u malware di cumandamentu è cuntrollu (C2) spessu usa HTTP per maschera u canali di cumunicazione. Cum'è cù u tunneling DNS, u pirate pirate i so dati, ma in questu casu s'assumiglia à u trafficu da un navigatore web regulare accede à un situ remoto (cuntrullatu da l'attaccante). Questu pò passà inosservatu da i prugrammi di monitoraghju si ùn sò micca cunfigurati per percive abusu di u protocolu HTTP per scopi di pirate.
Vulete chì aiutemu cù a rilevazione di tunnel DNS? Scuprite u nostru modulu è pruvate gratis !
Source: www.habr.com