Η σήραγγα DNS μετατρέπει το σύστημα ονομάτων τομέα σε όπλο χάκερ. Το DNS είναι ουσιαστικά ο τεράστιος τηλεφωνικός κατάλογος του Διαδικτύου. Το DNS είναι επίσης το υποκείμενο πρωτόκολλο που επιτρέπει στους διαχειριστές να υποβάλουν ερωτήματα στη βάση δεδομένων του διακομιστή DNS. Μέχρι στιγμής όλα δείχνουν να είναι ξεκάθαρα. Αλλά οι πονηροί χάκερ έχουν συνειδητοποιήσει ότι είναι δυνατή η κρυφή επικοινωνία με τον υπολογιστή-θύμα εισάγοντας εντολές ελέγχου και δεδομένα στο πρωτόκολλο DNS. Αυτή είναι η ιδέα πίσω από τη σήραγγα DNS.
Πώς λειτουργεί η σήραγγα DNS
Υπάρχει ξεχωριστό πρωτόκολλο για τα πάντα στο Διαδίκτυο. Και το DNS διατηρεί ένα σχετικά απλό τύπος αίτησης-απόκρισης. Εάν θέλετε να δείτε πώς λειτουργεί, μπορείτε να εκτελέσετε το nslookup, το κύριο εργαλείο ερωτημάτων DNS. Μπορείτε να ζητήσετε μια διεύθυνση εισάγοντας απλώς το όνομα τομέα που σας ενδιαφέρει, για παράδειγμα:
Στην περίπτωσή μας, το πρωτόκολλο απάντησε με μια διεύθυνση IP τομέα. Όσον αφορά το πρωτόκολλο DNS, έκανα αίτημα για διεύθυνση ή λεγόμενο. "Ενα είδος. Υπάρχουν άλλοι τύποι ερωτημάτων και το πρωτόκολλο DNS θα απαντήσει με ένα διαφορετικό σύνολο πεδίων δεδομένων, τα οποία, όπως θα δούμε στη συνέχεια, μπορούν να χρησιμοποιηθούν από χάκερ.
Με τον ένα ή τον άλλο τρόπο, στον πυρήνα του, το πρωτόκολλο DNS αφορά την αποστολή ενός αιτήματος στον διακομιστή και την απάντησή του πίσω στον πελάτη. Τι γίνεται αν ένας εισβολέας προσθέσει ένα κρυφό μήνυμα μέσα σε ένα αίτημα ονόματος τομέα; Για παράδειγμα, αντί να εισάγει μια απολύτως νόμιμη διεύθυνση URL, θα εισάγει τα δεδομένα που θέλει να διαβιβάσει:
Ας υποθέσουμε ότι ένας εισβολέας ελέγχει τον διακομιστή DNS. Στη συνέχεια, μπορεί να διαβιβάσει δεδομένα - για παράδειγμα, προσωπικά δεδομένα - και δεν θα εντοπιστεί απαραίτητα. Τελικά, γιατί ένα ερώτημα DNS θα γίνει ξαφνικά κάτι παράνομο;
Με τον έλεγχο του διακομιστή, οι χάκερ μπορούν να πλαστογραφήσουν απαντήσεις και να στείλουν δεδομένα πίσω στο σύστημα-στόχο. Αυτό τους επιτρέπει να περνούν μηνύματα που είναι κρυμμένα σε διάφορα πεδία της απόκρισης DNS στο κακόβουλο λογισμικό στο μολυσμένο μηχάνημα, με οδηγίες όπως η αναζήτηση μέσα σε έναν συγκεκριμένο φάκελο.
Το κομμάτι «τούνελ» αυτής της επίθεσης είναι δεδομένα και εντολές από τον εντοπισμό από συστήματα παρακολούθησης. Οι χάκερ μπορούν να χρησιμοποιήσουν τα σύνολα χαρακτήρων base32, base64 κ.λπ. ή ακόμα και να κρυπτογραφήσουν τα δεδομένα. Αυτή η κωδικοποίηση θα περάσει απαρατήρητη από απλά βοηθητικά προγράμματα ανίχνευσης απειλών που πραγματοποιούν αναζήτηση σε απλό κείμενο.
Και αυτό είναι το DNS tunneling!
Ιστορικό επιθέσεων μέσω σήραγγας DNS
Όλα έχουν μια αρχή, συμπεριλαμβανομένης της ιδέας της πειρατείας του πρωτοκόλλου DNS για σκοπούς χάκερ. Από όσο μπορούμε να πούμε, το πρώτο Μια τέτοια επίθεση πραγματοποιήθηκε από τον Oskar Pearson στη λίστα αλληλογραφίας Bugtraq τον Απρίλιο του 1998.
Μέχρι το 2004, το DNS tunneling εισήχθη στο Black Hat ως μια τεχνική hacky σε μια παρουσίαση του Dan Kaminsky. Έτσι, η ιδέα πολύ γρήγορα εξελίχθηκε σε ένα πραγματικό εργαλείο επίθεσης.
Σήμερα, το DNS tunneling κατέχει μια ισχυρή θέση στον χάρτη (και οι bloggers ασφαλείας καλούνται συχνά να το εξηγήσουν).
Έχετε ακούσει για ? Πρόκειται για μια συνεχιζόμενη εκστρατεία κυβερνοεγκληματιών -πιθανότατα χρηματοδοτούμενη από το κράτος- για την ανάληψη νόμιμων διακομιστών DNS προκειμένου να ανακατευθύνουν αιτήματα DNS στους δικούς τους διακομιστές. Αυτό σημαίνει ότι οι οργανισμοί θα λάβουν "κακές" διευθύνσεις IP που θα οδηγούν σε ψεύτικες ιστοσελίδες που διευθύνονται από χάκερ, όπως η Google ή η FedEx. Σε αυτήν την περίπτωση, οι εισβολείς θα μπορούν να αποκτήσουν τους λογαριασμούς και τους κωδικούς πρόσβασης των χρηστών που τα εισάγουν εν αγνοία τους σε τέτοιους ψεύτικους ιστότοπους. Δεν πρόκειται για σήραγγα DNS, αλλά για άλλη μια δυσάρεστη συνέπεια του ελέγχου των διακομιστών DNS από χάκερ.
Απειλές DNS Tunneling
Η σήραγγα DNS είναι σαν ένδειξη της αρχής του σταδίου των κακών ειδήσεων. Ποια από όλα? Έχουμε ήδη μιλήσει για μερικά, αλλά ας τα δομήσουμε:
- Εξαγωγή δεδομένων (διήθηση) – ένας χάκερ μεταφέρει κρυφά κρίσιμα δεδομένα μέσω DNS. Αυτός σίγουρα δεν είναι ο πιο αποτελεσματικός τρόπος μεταφοράς πληροφοριών από τον υπολογιστή του θύματος - λαμβάνοντας υπόψη όλο το κόστος και τις κωδικοποιήσεις - αλλά λειτουργεί, και ταυτόχρονα - διακριτικά!
- Command and Control (C2 για συντομία) - οι χάκερ χρησιμοποιούν το πρωτόκολλο DNS για να στείλουν απλές εντολές ελέγχου, ας πούμε, μέσω (Remote Access Trojan, RAT για συντομία).
- Σήραγγα IP-Over-DNS - αυτό μπορεί να ακούγεται τρελό, αλλά υπάρχουν βοηθητικά προγράμματα που εφαρμόζουν μια στοίβα IP πάνω από τα αιτήματα και τις απαντήσεις του πρωτοκόλλου DNS. Αυτό κάνει τη μεταφορά δεδομένων χρησιμοποιώντας FTP, Netcat, ssh κ.λπ. σχετικά απλή εργασία. Εξαιρετικά απαίσιο!
Ανίχνευση σήραγγας DNS
Υπάρχουν δύο κύριες μέθοδοι για τον εντοπισμό κατάχρησης DNS: ανάλυση φορτίου και ανάλυση κυκλοφορίας.
Στο ανάλυση φορτίου το αμυνόμενο μέρος αναζητά ανωμαλίες στα δεδομένα που αποστέλλονται εμπρός και πίσω που μπορούν να εντοπιστούν με στατιστικές μεθόδους: ονόματα κεντρικών υπολογιστών με παράξενη εμφάνιση, έναν τύπο εγγραφής DNS που δεν χρησιμοποιείται τόσο συχνά ή μια μη τυπική κωδικοποίηση.
Στο ανάλυση κυκλοφορίας Ο αριθμός των αιτημάτων DNS σε κάθε τομέα εκτιμάται σε σύγκριση με το μέσο επίπεδο. Οι εισβολείς που χρησιμοποιούν σήραγγα DNS θα δημιουργήσουν μεγάλη κίνηση στον διακομιστή. Θεωρητικά, πολύ ανώτερο από τα κανονικά μηνύματα DNS. Και πρέπει να παρακολουθείται!
DNS Tunneling Utilities
Εάν θέλετε να πραγματοποιήσετε το δικό σας τεστ διείσδυσης και να δείτε πόσο καλά μπορεί η εταιρεία σας να εντοπίσει και να ανταποκριθεί σε μια τέτοια δραστηριότητα, υπάρχουν πολλά βοηθητικά προγράμματα για αυτό. Όλοι μπορούν να κάνουν σήραγγα σε λειτουργία IP μέσω DNS:
- – διαθέσιμο σε πολλές πλατφόρμες (Linux, Mac OS, FreeBSD και Windows). Σας επιτρέπει να εγκαταστήσετε ένα κέλυφος SSH μεταξύ του υπολογιστή στόχου και του υπολογιστή ελέγχου. Εδώ είναι ένα καλό σχετικά με τη ρύθμιση και τη χρήση του ιωδίου.
- είναι το έργο DNS tunneling του Dan Kaminsky, γραμμένο σε Perl. Μπορείτε να συνδεθείτε με αυτό μέσω SSH.
- «Μια σήραγγα DNS που δεν σε αρρωσταίνει». Δημιουργεί ένα κρυπτογραφημένο κανάλι C2 για τη μεταφόρτωση/λήψη αρχείων, την εκκίνηση κελύφους κ.λπ.
Βοηθητικά προγράμματα παρακολούθησης DNS
Παρακάτω είναι μια λίστα με πολλά βοηθητικά προγράμματα που θα είναι χρήσιμα για τον εντοπισμό επιθέσεων σήραγγας:
- - Ενότητα Python γραμμένη για MercenaryHuntFramework και Mercenary-Linux. Διαβάζει αρχεία .pcap, εξάγει ερωτήματα DNS και εκτελεί αντιστοίχιση γεωγραφικής τοποθεσίας για να βοηθήσει στην ανάλυση.
- είναι ένα βοηθητικό πρόγραμμα Python που διαβάζει αρχεία .pcap και αναλύει μηνύματα DNS.
Micro FAQ για DNS Tunneling
Χρήσιμες πληροφορίες με τη μορφή ερωτήσεων και απαντήσεων!
Ε: Τι είναι η σήραγγα;
Σχετικά με: Είναι απλώς ένας τρόπος μεταφοράς δεδομένων μέσω ενός υπάρχοντος πρωτοκόλλου. Το υποκείμενο πρωτόκολλο παρέχει ένα αποκλειστικό κανάλι ή σήραγγα, το οποίο στη συνέχεια χρησιμοποιείται για να κρύψει τις πληροφορίες που πραγματικά μεταδίδονται.
Ε: Πότε πραγματοποιήθηκε η πρώτη επίθεση σήραγγας DNS;
Σχετικά με: Δεν ξέρουμε! Αν γνωρίζετε, ενημερώστε μας. Από όσο γνωρίζουμε, η πρώτη συζήτηση για την επίθεση ξεκίνησε από τον Oscar Pearsan στη λίστα αλληλογραφίας Bugtraq τον Απρίλιο του 1998.
Ε: Ποιες επιθέσεις είναι παρόμοιες με το DNS tunneling;
Σχετικά με: Το DNS απέχει πολύ από το μόνο πρωτόκολλο που μπορεί να χρησιμοποιηθεί για τη δημιουργία σήραγγας. Για παράδειγμα, το κακόβουλο λογισμικό εντολών και ελέγχου (C2) χρησιμοποιεί συχνά το HTTP για να κρύψει το κανάλι επικοινωνίας. Όπως και με τη σήραγγα DNS, ο χάκερ κρύβει τα δεδομένα του, αλλά σε αυτήν την περίπτωση μοιάζει με κίνηση από ένα κανονικό πρόγραμμα περιήγησης ιστού που έχει πρόσβαση σε έναν απομακρυσμένο ιστότοπο (που ελέγχεται από τον εισβολέα). Αυτό μπορεί να περάσει απαρατήρητο από τα προγράμματα παρακολούθησης, εάν δεν είναι ρυθμισμένα να αντιλαμβάνονται κατάχρηση του πρωτοκόλλου HTTP για σκοπούς χάκερ.
Θα θέλατε να σας βοηθήσουμε με τον εντοπισμό σήραγγας DNS; Ελέγξτε την ενότητα μας και δοκιμάστε δωρεάν !
Πηγή: www.habr.com