DNS tunelování mění systém doménových jmen v hackerovu zbraň. DNS je v podstatě obrovský telefonní seznam internetu. DNS je také základní protokol, který správcům umožňuje dotazovat se na databázi serveru DNS. Zatím se zdá být vše jasné. Ale mazaní hackeři si uvědomili, že s počítačem oběti je možné skrytě komunikovat vložením řídicích příkazů a dat do protokolu DNS. To je myšlenka tunelování DNS.
Jak funguje tunelování DNS
Na vše na internetu existuje samostatný protokol. A DNS udržuje relativně jednoduché typ žádost-odpověď. Pokud chcete vidět, jak to funguje, můžete spustit nslookup, hlavní nástroj pro dotazy DNS. Můžete požádat o adresu jednoduše zadáním názvu domény, o kterou máte zájem, například:
V našem případě protokol odpověděl IP adresou domény. Z hlediska DNS protokolu jsem zadal požadavek na adresu nebo tzv. "Typ. Existují i jiné typy dotazů a protokol DNS odpoví jinou sadou datových polí, která, jak uvidíme později, mohou využít hackeři.
Tak či onak je protokol DNS ve svém jádru o odeslání požadavku na server a jeho odpovědi zpět klientovi. Co když útočník přidá skrytou zprávu do požadavku na název domény? Například místo zadání zcela legitimní adresy URL zadá údaje, které chce předat:
Předpokládejme, že útočník ovládá server DNS. Poté může předávat údaje – například osobní údaje – a nemusí být nutně detekován. Ostatně, proč by se DNS dotaz najednou stal něčím nelegitimním?
Díky ovládání serveru mohou hackeři vytvářet odpovědi a odesílat data zpět do cílového systému. To jim umožňuje předávat zprávy skryté v různých polích odpovědi DNS malwaru na infikovaném počítači s pokyny, jako je vyhledávání v konkrétní složce.
"Tunelovací" část tohoto útoku je data a příkazy z detekce monitorovacími systémy. Hackeři mohou používat znakové sady base32, base64 atd. nebo dokonce data šifrovat. Takové kódování projde bez povšimnutí jednoduchými nástroji pro detekci hrozeb, které vyhledávají v prostém textu.
A to je tunelování DNS!
Historie útoků prostřednictvím tunelování DNS
Všechno má svůj začátek, včetně myšlenky únosu protokolu DNS pro účely hackerů. Pokud můžeme říci, první takový útok provedl Oskar Pearson na mailing listu Bugtraq v dubnu 1998.
V roce 2004 bylo tunelování DNS představeno společnosti Black Hat jako hacknutá technika v prezentaci Dana Kaminského. Nápad tak velmi rychle přerostl ve skutečný nástroj útoku.
DNS tunelování dnes zaujímá na mapě silnou pozici (a bezpečnostní blogeři jsou často žádáni, aby to vysvětlili).
Slyšeli jste o ? Toto je pokračující kampaň kyberzločinců – s největší pravděpodobností státem sponzorovaná – s cílem převzít legitimní servery DNS za účelem přesměrování požadavků DNS na jejich vlastní servery. To znamená, že organizace obdrží „špatné“ IP adresy odkazující na falešné webové stránky provozované hackery, jako je Google nebo FedEx. V takovém případě budou útočníci schopni získat účty a hesla uživatelů, kteří je nevědomky zadají na takové falešné stránky. Nejedná se o tunelování DNS, ale jen o další nepříjemný důsledek hackerské kontroly serverů DNS.
Hrozby tunelování DNS
DNS tunelování je jako indikátor začátku fáze špatných zpráv. Kteří? O několika jsme již hovořili, ale pojďme je strukturovat:
- Výstup dat (exfiltrace) – hacker skrytě přenáší důležitá data přes DNS. Toto rozhodně není nejefektivnější způsob přenosu informací z počítače oběti – s ohledem na všechny náklady a kódování – ale funguje to a zároveň – diskrétně!
- Command and Control (zkráceně C2) - hackeři používají protokol DNS k odesílání jednoduchých řídicích příkazů, řekněme, přes (Remote Access Trojan, zkráceně RAT).
- Tunelování IP-Over-DNS - Může to znít bláznivě, ale existují nástroje, které implementují zásobník IP nad požadavky a odpovědi protokolu DNS. To umožňuje přenos dat pomocí FTP, Netcat, ssh atd. poměrně jednoduchý úkol. Mimořádně zlověstné!
Detekce tunelování DNS
Existují dvě hlavní metody pro detekci zneužití DNS: analýza zátěže a analýza provozu.
na analýza zatížení bránící se strana hledá anomálie v datech zasílaných tam a zpět, které lze odhalit statistickými metodami: podivně vypadající názvy hostitelů, typ DNS záznamu, který se nepoužívá tak často, nebo nestandardní kódování.
na dopravní analýza počet DNS požadavků na každou doménu je odhadován ve srovnání s průměrnou úrovní. Útočníci využívající tunelování DNS vygenerují na server velký provoz. Teoreticky mnohem lepší než normální zasílání zpráv DNS. A je potřeba to sledovat!
Nástroje pro tunelování DNS
Chcete-li provést svůj vlastní penetrační test a zjistit, jak dobře vaše společnost dokáže takovou aktivitu detekovat a reagovat na ni, existuje pro to několik nástrojů. Všechny mohou tunelovat v režimu IP přes DNS:
- – k dispozici na mnoha platformách (Linux, Mac OS, FreeBSD a Windows). Umožňuje nainstalovat SSH shell mezi cílový a řídicí počítač. Tady je dobrý o nastavení a používání jódu.
- je projekt tunelování DNS od Dana Kaminského, napsaný v Perlu. Můžete se k němu připojit přes SSH.
- "Tunel DNS, ze kterého se nedělá špatně." Vytváří šifrovaný kanál C2 pro nahrávání/stahování souborů, spouštění shellů atd.
Nástroje pro monitorování DNS
Níže je uveden seznam několika nástrojů, které budou užitečné pro detekci tunelových útoků:
- - Modul Python napsaný pro MercenaryHuntFramework a Mercenary-Linux. Čte soubory .pcap, extrahuje dotazy DNS a provádí geolokační shodu pro pomoc při analýze.
- je nástroj Pythonu, který čte soubory .pcap a analyzuje zprávy DNS.
Mikročasté dotazy k tunelování DNS
Užitečné informace ve formě otázek a odpovědí!
Otázka: Co je tunelování?
O: Je to jen způsob přenosu dat přes existující protokol. Základní protokol poskytuje vyhrazený kanál nebo tunel, který se pak používá ke skrytí informací, které jsou skutečně přenášeny.
Otázka: Kdy byl proveden první útok tunelování DNS?
O: Nevíme! Pokud víte, dejte nám prosím vědět. Pokud je nám známo, první diskusi o útoku inicioval Oscar Pearsan na mailing listu Bugtraq v dubnu 1998.
Otázka: Jaké útoky jsou podobné tunelování DNS?
O: DNS není zdaleka jediný protokol, který lze pro tunelování použít. Například malware pro příkazy a řízení (C2) často používá HTTP k maskování komunikačního kanálu. Stejně jako v případě tunelování DNS hacker skrývá svá data, ale v tomto případě to vypadá jako provoz z běžného webového prohlížeče, který přistupuje na vzdálenou stránku (řízenou útočníkem). To může zůstat bez povšimnutí monitorovacími programy, pokud nejsou nakonfigurovány tak, aby vnímaly zneužití protokolu HTTP pro hackerské účely.
Chcete, abychom vám pomohli s detekcí DNS Tunnelingu? Podívejte se na náš modul a vyzkoušet zdarma !
Zdroj: www.habr.com