DNS-Tunneling macht das Domain-Name-System zu einer Waffe für Hacker. DNS ist im Wesentlichen das riesige Telefonbuch des Internets. DNS ist auch das zugrunde liegende Protokoll, das es Administratoren ermöglicht, die DNS-Serverdatenbank abzufragen. Bisher scheint alles klar. Schlaue Hacker erkannten jedoch, dass sie heimlich mit dem Computer des Opfers kommunizieren konnten, indem sie Steuerbefehle und Daten in das DNS-Protokoll einschleusten. Diese Idee ist die Grundlage des DNS-Tunnelings.
So funktioniert DNS-Tunneling
Alles im Internet verfügt über ein eigenes Protokoll. Und die DNS-Unterstützung ist relativ einfach Anfrage-Antwort-Typ. Wenn Sie sehen möchten, wie es funktioniert, können Sie nslookup ausführen, das Haupttool zum Durchführen von DNS-Abfragen. Sie können eine Adresse anfordern, indem Sie einfach den Domainnamen angeben, an dem Sie interessiert sind, zum Beispiel:
In unserem Fall antwortete das Protokoll mit der Domain-IP-Adresse. Bezogen auf das DNS-Protokoll habe ich eine Adressanfrage bzw. einen sogenannten Request gestellt. "Eine Art. Es gibt andere Arten von Anfragen, und das DNS-Protokoll antwortet mit einem anderen Satz von Datenfeldern, die, wie wir später sehen werden, von Hackern ausgenutzt werden können.
Auf die eine oder andere Weise geht es beim DNS-Protokoll im Kern um die Übertragung einer Anfrage an den Server und deren Antwort zurück an den Client. Was passiert, wenn ein Angreifer einer Domainnamenanfrage eine versteckte Nachricht hinzufügt? Anstatt beispielsweise eine völlig legitime URL einzugeben, gibt er die Daten ein, die er übermitteln möchte:
Nehmen wir an, ein Angreifer kontrolliert den DNS-Server. Es kann dann Daten – zum Beispiel personenbezogene Daten – übermitteln, ohne dass es notwendigerweise entdeckt wird. Denn warum sollte eine DNS-Abfrage plötzlich zu etwas Unzulässigem werden?
Durch die Kontrolle des Servers können Hacker Antworten fälschen und Daten an das Zielsystem zurücksenden. Dies ermöglicht es ihnen, in verschiedenen Feldern der DNS-Antwort versteckte Nachrichten an die Malware auf dem infizierten Computer weiterzuleiten, mit Anweisungen wie der Suche in einem bestimmten Ordner.
Der „Tunneling“-Teil dieses Angriffs ist Daten und Befehle vor der Erkennung durch Überwachungssysteme. Hacker können die Zeichensätze Base32, Base64 usw. verwenden oder die Daten sogar verschlüsseln. Eine solche Codierung wird von einfachen Dienstprogrammen zur Bedrohungserkennung, die den Klartext durchsuchen, unentdeckt bleiben.
Und das ist DNS-Tunneling!
Geschichte von DNS-Tunneling-Angriffen
Alles hat einen Anfang, auch die Idee, das DNS-Protokoll für Hackerzwecke zu kapern. Soweit wir das beurteilen können, das erste Dieser Angriff wurde im April 1998 von Oskar Pearson auf die Bugtraq-Mailingliste ausgeführt.
2004 wurde DNS-Tunneling bei Black Hat in einer Präsentation von Dan Kaminsky als Hacking-Technik vorgestellt. So entwickelte sich aus der Idee sehr schnell ein echtes Angriffswerkzeug.
Heutzutage nimmt DNS-Tunneling einen sicheren Platz auf der Karte ein (und Blogger zur Informationssicherheit werden oft gebeten, dies zu erklären).
Hast du von gehört ? Hierbei handelt es sich um eine laufende Kampagne von – höchstwahrscheinlich staatlich geförderten – Cyberkriminellengruppen, die darauf abzielen, legitime DNS-Server zu kapern, um DNS-Anfragen an ihre eigenen Server umzuleiten. Das bedeutet, dass Organisationen „schlechte“ IP-Adressen erhalten, die auf gefälschte Webseiten verweisen, die von Hackern wie Google oder FedEx betrieben werden. Gleichzeitig können Angreifer an Benutzerkonten und Passwörter gelangen, die sie unwissentlich auf solchen gefälschten Websites eingeben. Hierbei handelt es sich nicht um DNS-Tunneling, sondern lediglich um eine weitere unglückliche Folge der Kontrolle von DNS-Servern durch Hacker.
Bedrohungen durch DNS-Tunneling
DNS-Tunneling ist wie ein Indikator für den Beginn der Phase der schlechten Nachrichten. Welche? Wir haben bereits über mehrere gesprochen, aber lassen Sie uns sie strukturieren:
- Datenausgabe (Exfiltration) – Ein Hacker überträgt heimlich kritische Daten über DNS. Dies ist sicherlich nicht der effizienteste Weg, Informationen vom Computer des Opfers zu übertragen – unter Berücksichtigung aller Kosten und Verschlüsselungen –, aber es funktioniert, und zwar heimlich!
- Command and Control (abgekürzt C2) – Hacker nutzen das DNS-Protokoll, um einfache Steuerbefehle beispielsweise über (Remote Access Trojan, abgekürzt RAT).
- IP-over-DNS-Tunneling – Das hört sich vielleicht verrückt an, aber es gibt Dienstprogramme, die zusätzlich zu den DNS-Protokollanfragen und -antworten einen IP-Stack implementieren. Es ermöglicht die Datenübertragung über FTP, Netcat, SSH usw. eine relativ einfache Aufgabe. Äußerst bedrohlich!
DNS-Tunneling erkennen
Es gibt zwei Hauptmethoden zur Erkennung von DNS-Missbrauch: Lastanalyse und Verkehrsanalyse.
bei Belastungsanalyse Die Beklagte sucht in den hin- und hergesendeten Daten nach Anomalien, die mit statistischen Methoden aufgedeckt werden können: seltsam aussehende Hostnamen, ein nicht so häufig verwendeter DNS-Eintragstyp oder eine nicht standardmäßige Verschlüsselung.
bei Verkehrsanalyse Die Anzahl der DNS-Anfragen an jede Domain wird im Vergleich zum statistischen Durchschnitt geschätzt. Angreifer, die DNS-Tunneling nutzen, erzeugen eine große Menge an Datenverkehr zum Server. Theoretisch dem normalen DNS-Nachrichtenaustausch deutlich überlegen. Und das muss überwacht werden!
DNS-Tunneling-Dienstprogramme
Wenn Sie Ihren eigenen Pentest durchführen und sehen möchten, wie gut Ihr Unternehmen solche Aktivitäten erkennen und darauf reagieren kann, gibt es dafür mehrere Dienstprogramme. Alle können im Modus tunneln IP-über-DNS:
- – verfügbar auf vielen Plattformen (Linux, Mac OS, FreeBSD und Windows). Ermöglicht die Installation einer SSH-Shell zwischen dem Ziel- und dem Steuercomputer. Das ist gut zum Einrichten und Verwenden von Jod.
- – DNS-Tunnelprojekt von Dan Kaminsky, geschrieben in Perl. Sie können sich per SSH damit verbinden.
- - „DNS-Tunnel, der dich nicht krank macht.“ Erstellt einen verschlüsselten C2-Kanal zum Senden/Herunterladen von Dateien, Starten von Shells usw.
Dienstprogramme zur DNS-Überwachung
Nachfolgend finden Sie eine Liste verschiedener Dienstprogramme, die zum Erkennen von Tunnelangriffen hilfreich sein können:
- – Python-Modul geschrieben für MercenaryHuntFramework und Mercenary-Linux. Liest .pcap-Dateien, extrahiert DNS-Abfragen und führt eine Geolokalisierungszuordnung durch, um die Analyse zu unterstützen.
- – ein Python-Dienstprogramm, das .pcap-Dateien liest und DNS-Nachrichten analysiert.
Micro-FAQ zum DNS-Tunneling
Nützliche Informationen in Form von Fragen und Antworten!
F: Was ist Tunnelbau?
Über: Es handelt sich lediglich um eine Möglichkeit, Daten über ein vorhandenes Protokoll zu übertragen. Das zugrunde liegende Protokoll stellt einen dedizierten Kanal oder Tunnel bereit, der dann verwendet wird, um die tatsächlich übertragenen Informationen zu verbergen.
F: Wann wurde der erste DNS-Tunneling-Angriff durchgeführt?
Über: Wir wissen nicht! Wenn Sie es wissen, lassen Sie es uns bitte wissen. Nach unserem besten Wissen wurde die erste Diskussion über den Angriff im April 1998 von Oscar Piersan in der Bugtraq-Mailingliste initiiert.
F: Welche Angriffe ähneln dem DNS-Tunneling?
Über: DNS ist bei weitem nicht das einzige Protokoll, das zum Tunneln verwendet werden kann. Beispielsweise verwendet Command-and-Control-Malware (C2) häufig HTTP, um den Kommunikationskanal zu maskieren. Wie beim DNS-Tunneling verbirgt der Hacker seine Daten, aber in diesem Fall sieht es aus wie Datenverkehr von einem normalen Webbrowser, der auf eine Remote-Site zugreift (vom Angreifer kontrolliert). Dies kann von Überwachungsprogrammen unbemerkt bleiben, wenn sie nicht für die Wahrnehmung konfiguriert sind Missbrauch des HTTP-Protokolls für Hackerzwecke.
Möchten Sie, dass wir Ihnen bei der DNS-Tunnelerkennung helfen? Schauen Sie sich unser Modul an und probieren Sie es kostenlos aus !
Source: habr.com