El túnel DNS convierte el sistema de nombres de dominio en un arma para los piratas informáticos. DNS es esencialmente la enorme guía telefónica de Internet. DNS también es el protocolo subyacente que permite a los administradores consultar la base de datos del servidor DNS. Hasta aquí todo parece claro. Pero los astutos piratas informáticos se dieron cuenta de que podían comunicarse en secreto con la computadora víctima inyectando comandos de control y datos en el protocolo DNS. Esta idea es la base del túnel DNS.
Cómo funciona el túnel DNS
Todo en Internet tiene su propio protocolo independiente. Y el soporte de DNS es relativamente simple tipo solicitud-respuesta. Si quieres ver cómo funciona, puedes ejecutar nslookup, la herramienta principal para realizar consultas DNS. Puede solicitar una dirección simplemente especificando el nombre de dominio que le interesa, por ejemplo:
En nuestro caso, el protocolo respondió con la dirección IP del dominio. En cuanto al protocolo DNS, hice una solicitud de dirección o la llamada solicitud. "Un tipo. Hay otros tipos de consultas y el protocolo DNS responderá con un conjunto diferente de campos de datos que, como veremos más adelante, los piratas informáticos pueden aprovechar.
De una forma u otra, en esencia, el protocolo DNS se ocupa de transmitir una solicitud al servidor y su respuesta al cliente. ¿Qué pasa si un atacante agrega un mensaje oculto dentro de una solicitud de nombre de dominio? Por ejemplo, en lugar de introducir una URL completamente legítima, introducirá los datos que quiere transmitir:
Digamos que un atacante controla el servidor DNS. Luego puede transmitir datos (datos personales, por ejemplo) sin ser necesariamente detectado. Después de todo, ¿por qué una consulta DNS de repente se convertiría en algo ilegítimo?
Al controlar el servidor, los piratas informáticos pueden falsificar respuestas y enviar datos al sistema de destino. Esto les permite pasar mensajes ocultos en varios campos de la respuesta DNS al malware en la máquina infectada, con instrucciones como buscar dentro de una carpeta específica.
La parte de "tunelización" de este ataque es datos y comandos de detección por sistemas de monitoreo. Los piratas informáticos pueden utilizar conjuntos de caracteres base32, base64, etc., o incluso cifrar los datos. Dicha codificación pasará desapercibida para las sencillas utilidades de detección de amenazas que buscan en el texto sin formato.
¡Y esto es un túnel DNS!
Historia de los ataques de túnel DNS
Todo tiene un comienzo, incluida la idea de secuestrar el protocolo DNS con fines de piratería. Por lo que sabemos, la primera Este ataque fue llevado a cabo por Oskar Pearson en la lista de correo de Bugtraq en abril de 1998.
En 2004, el túnel DNS se introdujo en Black Hat como técnica de piratería en una presentación de Dan Kaminsky. Así, la idea se convirtió rápidamente en una verdadera herramienta de ataque.
Hoy en día, los túneles DNS ocupan una posición segura en el mapa. (y a menudo se pide a los bloggers de seguridad de la información que lo expliquen).
¿Has oído hablar de ? Se trata de una campaña continua de grupos de ciberdelincuentes (probablemente patrocinada por el Estado) para secuestrar servidores DNS legítimos y redirigir las solicitudes de DNS a sus propios servidores. Esto significa que las organizaciones recibirán direcciones IP "malas" que apuntan a páginas web falsas administradas por piratas informáticos, como Google o FedEx. Al mismo tiempo, los atacantes podrán obtener cuentas de usuario y contraseñas, que sin saberlo las introducirán en dichos sitios falsos. Esto no es un túnel DNS, sino simplemente otra consecuencia desafortunada del control de los servidores DNS por parte de los piratas informáticos.
Amenazas de túnel DNS
El túnel DNS es como un indicador del comienzo de la etapa de malas noticias. ¿Cuáles? Ya hemos hablado de varios, pero estructurémoslos:
- Salida de datos (exfiltración) – un hacker transmite en secreto datos críticos a través de DNS. Definitivamente, esta no es la forma más eficaz de transferir información desde el ordenador de la víctima (teniendo en cuenta todos los costes y codificaciones), pero funciona y, al mismo tiempo, ¡en secreto!
- Comando y Control (abreviado C2) – Los piratas informáticos utilizan el protocolo DNS para enviar comandos de control simples a través de, por ejemplo, (Troyano de acceso remoto, abreviado RAT).
- Túnel IP sobre DNS - Esto puede parecer una locura, pero existen utilidades que implementan una pila de IP además de las solicitudes y respuestas del protocolo DNS. Realiza transferencia de datos mediante FTP, Netcat, ssh, etc. una tarea relativamente sencilla. ¡Extremadamente siniestro!
Detección de túneles DNS
Existen dos métodos principales para detectar el abuso de DNS: análisis de carga y análisis de tráfico.
en análisis de carga La parte defensora busca anomalías en los datos enviados de un lado a otro que puedan detectarse mediante métodos estadísticos: nombres de host de aspecto extraño, un tipo de registro DNS que no se utiliza con tanta frecuencia o codificación no estándar.
en Análisis de tráfico El número de solicitudes de DNS a cada dominio se estima en comparación con el promedio estadístico. Los atacantes que utilizan túneles DNS generarán una gran cantidad de tráfico hacia el servidor. En teoría, es significativamente superior al intercambio normal de mensajes DNS. ¡Y esto hay que controlarlo!
Utilidades de tunelización DNS
Si desea realizar su propio pentest y ver qué tan bien su empresa puede detectar y responder a dicha actividad, existen varias utilidades para ello. Todos ellos pueden hacer túneles en el modo IP sobre DNS:
- – disponible en muchas plataformas (Linux, Mac OS, FreeBSD y Windows). Le permite instalar un shell SSH entre las computadoras de destino y de control. Esa es buena sobre cómo configurar y usar yodo.
- – Proyecto de túnel DNS de Dan Kaminsky, escrito en Perl. Puede conectarse a él a través de SSH.
- - “Túnel DNS que no te enferma”. Crea un canal C2 cifrado para enviar/descargar archivos, iniciar shells, etc.
Utilidades de monitoreo de DNS
A continuación se muestra una lista de varias utilidades que serán útiles para detectar ataques de túnel:
- – Módulo Python escrito para MercenaryHuntFramework y Mercenary-Linux. Lee archivos .pcap, extrae consultas DNS y realiza mapas de geolocalización para ayudar en el análisis.
- – una utilidad de Python que lee archivos .pcap y analiza mensajes DNS.
Micro preguntas frecuentes sobre túneles DNS
¡Información útil en forma de preguntas y respuestas!
P: ¿Qué es la construcción de túneles?
ACERCA DE: Es simplemente una forma de transferir datos a través de un protocolo existente. El protocolo subyacente proporciona un canal o túnel dedicado, que luego se utiliza para ocultar la información que realmente se transmite.
P: ¿Cuándo se llevó a cabo el primer ataque de túnel DNS?
ACERCA DE: ¡No sabemos! Si lo sabe, háganoslo saber. Hasta donde sabemos, la primera discusión sobre el ataque la inició Oscar Piersan en la lista de correo de Bugtraq en abril de 1998.
P: ¿Qué ataques son similares al túnel DNS?
ACERCA DE: DNS está lejos de ser el único protocolo que se puede utilizar para la creación de túneles. Por ejemplo, el malware de comando y control (C2) suele utilizar HTTP para enmascarar el canal de comunicación. Al igual que con el túnel DNS, el hacker oculta sus datos, pero en este caso parece tráfico de un navegador web normal que accede a un sitio remoto (controlado por el atacante). Esto puede pasar desapercibido para los programas de seguimiento si no están configurados para percibir Abuso del protocolo HTTP con fines piratas informáticos.
¿Le gustaría que le ayudemos con la detección del túnel DNS? Consulta nuestro módulo y pruébalo gratis !
Fuente: habr.com