DNS-tunelo igas la domajnan nomsistemon armilon por retpiratoj. DNS estas esence la grandega telefonlibro de Interreto. DNS ankaŭ estas la subesta protokolo kiu permesas al administrantoj pridemandi la DNS-servilan datumbazon. Ĝis nun ĉio ŝajnas klara. Sed ruzaj piratoj rimarkis, ke ili povas sekrete komuniki kun la viktima komputilo injektante kontrolkomandojn kaj datumojn en la DNS-protokolo. Ĉi tiu ideo estas la bazo de DNS-tunelado.
Kiel funkcias DNS-tunelado
Ĉio en la Interreto havas sian propran apartan protokolon. Kaj DNS-subteno estas relative simpla peto-responda tipo. Se vi volas vidi kiel ĝi funkcias, vi povas ruli nslookup, la ĉefa ilo por fari DNS-demandojn. Vi povas peti adreson simple specifante la domajnan nomon, pri kiu vi interesiĝas, ekzemple:
En nia kazo, la protokolo respondis per la domajna IP-adreso. Koncerne al la DNS-protokolo, mi faris adrespeton aŭ tiel nomatan peton. "A" tipo. Estas aliaj specoj de petoj, kaj la DNS-protokolo respondos per malsama aro da datumaj kampoj, kiuj, kiel ni vidos poste, povas esti ekspluataj de hackers.
Unu maniero aŭ alia, ĉe ĝia kerno, la DNS-protokolo temas pri elsendado de peto al la servilo kaj ĝia respondo reen al la kliento. Kio se atakanto aldonas kaŝitan mesaĝon ene de domajna nomo-peto? Ekzemple, anstataŭ enigi tute legitiman URL, li enmetos la datumojn, kiujn li volas transdoni:
Ni diru, ke atakanto regas la DNS-servilon. Ĝi tiam povas transdoni datumojn - personajn datumojn, ekzemple - sen nepre esti detektita. Post ĉio, kial DNS-demando subite fariĝus io nelegitima?
Kontrolante la servilon, retpiratoj povas forĝi respondojn kaj sendi datumojn reen al la celsistemo. Ĉi tio permesas al ili transdoni mesaĝojn kaŝitajn en diversaj kampoj de la DNS-respondo al malware sur la infektita maŝino, kun instrukcioj kiel serĉado ene de specifa dosierujo.
La "tunela" parto de ĉi tiu atako estas datumoj kaj komandoj de detekto per monitoraj sistemoj. Hakistoj povas uzi base32, base64, ktp., aŭ eĉ ĉifri la datumojn. Tia kodado pasos nerimarkita de simplaj minacaj detektaj iloj kiuj serĉas la klartekston.
Kaj ĉi tio estas DNS-tunelado!
Historio de DNS-tunelatakoj
Ĉio havas komencon, inkluzive de la ideo de forkapti la DNS-protokolon por hakado. Kiom ni povas diri, la unua Tiu atako estis aranĝita fare de Oskar Pearson en la Bugtraq dissendolisto en aprilo 1998.
Antaŭ 2004, DNS-tunelado estis lanĉita ĉe Black Hat kiel haka tekniko en prezento de Dan Kaminsky. Tiel, la ideo tre rapide kreskis al vera atakilo.
Hodiaŭ, DNS-tunelo okupas certan pozicion sur la mapo (kaj informsekurecaj blogantoj ofte estas petataj klarigi ĝin).
Ĉu vi aŭdis pri ? Ĉi tio estas daŭra kampanjo de ciberkrimaj grupoj - plej verŝajne ŝtat-sponsoritaj - por kaperi legitimajn DNS-servilojn por redirekti DNS-petojn al siaj propraj serviloj. Ĉi tio signifas, ke organizoj ricevos "malbonajn" IP-adresojn montrantajn al falsaj retpaĝoj administritaj de retpiratoj, kiel Google aŭ FedEx. Samtempe, atakantoj povos akiri uzantkontojn kaj pasvortojn, kiuj senkonscie enmetos ilin en tiaj falsaj retejoj. Ĉi tio ne estas DNS-tunelo, sed nur alia malfeliĉa sekvo de retpiratoj kontrolanta DNS-servilojn.
DNS-tunelaj minacoj
DNS-tunelo estas kiel indikilo de la komenco de la etapo de malbona novaĵo. Kiuj? Ni jam parolis pri pluraj, sed ni strukturu ilin:
- Eligo de datumoj (eksfiltrado) – retpirato sekrete transdonas kritikajn datumojn per DNS. Ĉi tio certe ne estas la plej efika maniero transdoni informojn el la viktima komputilo - konsiderante ĉiujn kostojn kaj kodadojn - sed ĝi funkcias, kaj samtempe - sekrete!
- Komando kaj Kontrolo (mallongigita C2) - retpiratoj uzas la DNS-protokolon por sendi simplajn kontrolkomandojn tra, ekzemple, (Remote Access Trojan, mallongigita RAT).
- IP-Over-DNS-Tunelado - Ĉi tio povas soni freneza, sed ekzistas utilecoj kiuj efektivigas IP-stakon aldone al DNS-protokolo-petoj kaj respondoj. Ĝi faras transdonon de datumoj uzante FTP, Netcat, ssh, ktp. relative simpla tasko. Ege malbonaŭgura!
Detektante DNS-tuneladon
Estas du ĉefaj metodoj por detekti DNS-misuzon: analizo de ŝarĝo kaj analizo de trafiko.
ĉe analizo de ŝarĝo La defendanto serĉas anomaliojn en la datumoj senditaj tien kaj reen, kiuj povas esti detektitaj per statistikaj metodoj: strangaspektaj gastigaj nomoj, DNS-rekorda tipo, kiu ne estas uzata tiel ofte, aŭ ne-norma kodigo.
ĉe analizo de trafiko La nombro da DNS-petoj al ĉiu domajno estas taksita kompare kun la statistika mezumo. Atakantoj uzantaj DNS-tuneladon generos grandan kvanton da trafiko al la servilo. En teorio, signife supera al normala DNS-mesaĝo interŝanĝo. Kaj ĉi tio devas esti monitorita!
DNS-tunelaj utilecoj
Se vi volas fari vian propran penteston kaj vidi kiom bone via kompanio povas detekti kaj respondi al tia agado, ekzistas pluraj utilecoj por ĉi tio. Ĉiuj ili povas tuneli en la reĝimo IP-Supra-DNS:
- - havebla sur multaj platformoj (Linukso, Mac OS, FreeBSD kaj Vindozo). Ebligas al vi instali SSH-ŝelon inter la celaj kaj kontrolaj komputiloj. Tio estas bona pri starigo kaj uzado de Jodo.
- – DNS-tunela projekto de Dan Kaminsky, verkita en Perl. Vi povas konekti al ĝi per SSH.
- - "DNS-tunelo kiu ne malsanigas vin." Kreas ĉifritan C2-kanalon por sendi/elŝuti dosierojn, lanĉi ŝelojn, ktp.
DNS-monitoraj utilecoj
Malsupre estas listo de pluraj utilecoj, kiuj estos utilaj por detekti tunelajn atakojn:
- - Python-modulo skribita por MercenaryHuntFramework kaj Mercenary-Linukso. Legas .pcap dosierojn, ĉerpas DNS-demandojn kaj faras geolokigan mapadon por helpi en analizo.
- – Python-ilaĵo, kiu legas .pcap-dosierojn kaj analizas DNS-mesaĝojn.
Mikroaj Oftaj Demandoj pri DNS-tunelado
Utilaj informoj en formo de demandoj kaj respondoj!
Q: Kio estas tunelado?
Pri: Ĝi estas simple maniero transdoni datumojn per ekzistanta protokolo. La subesta protokolo disponigas diligentan kanalon aŭ tunelon, kiu tiam kutimas kaŝi la informojn fakte estantajn elsendita.
Q: Kiam okazis la unua DNS-tunela atako?
Pri: Ni ne scias! Se vi scias, bonvolu sciigi nin. Laŭ nia scio, la unua diskuto pri la atako estis iniciatita fare de Oscar Piersan en la dissendolisto Bugtraq en aprilo 1998.
Q: Kiuj atakoj similas al DNS-tunelado?
Pri: DNS estas malproksima de la sola protokolo uzebla por tunelado. Ekzemple, komando kaj kontrolo (C2) malware ofte uzas HTTP por maski la komunikadkanalon. Kiel ĉe DNS-tunelado, la retpirato kaŝas siajn datumojn, sed ĉi-kaze ĝi aspektas kiel trafiko de regula retumilo aliranta al fora retejo (regata de la atakanto). Ĉi tio povas pasi nerimarkita monitorante programojn se ili ne estas agordita por percepti misuzo de la HTTP-protokolo por retpirataj celoj.
Ĉu vi ŝatus, ke ni helpu pri DNS-tunela detekto? Rigardu nian modulon kaj provu ĝin senpage !
fonto: www.habr.com