DNS-tunneldamine muudab domeeninimesüsteemi häkkerite relvaks. DNS on sisuliselt Interneti tohutu telefoniraamat. DNS on ka aluseks olev protokoll, mis võimaldab administraatoritel DNS-serveri andmebaasi päringuid teha. Siiani tundub kõik selge. Kuid kavalad häkkerid mõistsid, et nad saavad salaja suhelda ohvri arvutiga, sisestades DNS-protokolli juhtkäske ja andmeid. See idee on DNS-i tunneldamise aluseks.
Kuidas DNS-tunneldamine töötab
Internetis on kõigel oma eraldi protokoll. Ja DNS-i tugi on suhteliselt lihtne päringu-vastuse tüüp. Kui soovite näha, kuidas see töötab, võite käivitada DNS-päringute tegemise peamise tööriista nslookup. Saate taotleda aadressi, määrates lihtsalt teid huvitava domeeninime, näiteks:
Meie puhul vastas protokoll domeeni IP-aadressiga. DNS-protokolli osas tegin aadressipäringu ehk nö päringu. "A" tüüpi. On ka teist tüüpi päringuid ja DNS-protokoll vastab teistsuguse andmeväljade komplektiga, mida häkkerid saavad ära kasutada, nagu hiljem näeme.
Ühel või teisel viisil on DNS-protokoll oma tuumaks seotud päringu edastamisega serverile ja selle vastusega kliendile tagasi. Mis siis, kui ründaja lisab domeeninime päringu sisse peidetud sõnumi? Näiteks täiesti seadusliku URL-i sisestamise asemel sisestab ta andmed, mida ta soovib edastada:
Oletame, et ründaja juhib DNS-serverit. Seejärel saab see edastada andmeid – näiteks isikuandmeid – ilma, et neid tingimata tuvastataks. Lõppude lõpuks, miks peaks DNS-päring äkki saama millekski ebaseaduslikuks?
Serverit kontrollides saavad häkkerid vastuseid võltsida ja andmeid sihtsüsteemi tagasi saata. See võimaldab neil edastada nakatunud masinas olevale pahavarale DNS-i vastuse eri väljadesse peidetud sõnumeid koos juhistega, näiteks kindlas kaustas otsimine.
Selle rünnaku "tunneldamise" osa on seiresüsteemide tuvastamisel saadud andmed ja käsud. Häkkerid saavad kasutada base32, base64 jne märgikomplekte või isegi andmeid krüptida. Sellist kodeeringut ei avasta lihtsad ohutuvastusutiliidid, mis otsivad tavateksti.
Ja see on DNS-tunneldamine!
DNS-i tunnelirünnakute ajalugu
Kõigel on algus, kaasa arvatud idee DNS-protokolli kaaperdamisest häkkimise eesmärgil. Niipalju kui me aru saame, siis esimene Selle rünnaku sooritas Oskar Pearson Bugtraqi meililistis 1998. aasta aprillis.
2004. aastaks tutvustati DNS-tunneldamist Black Hatis häkkimistehnikana Dan Kaminsky ettekandes. Seega kasvas idee väga kiiresti tõeliseks ründevahendiks.
Tänapäeval on DNS-tunneldamisel kaardil kindel asukoht (ja sageli palutakse infoturbe blogijatel seda selgitada).
Kas olete kuulnud ? See on küberkurjategijate rühmituste jätkuv kampaania – tõenäoliselt riiklikult toetatud – seaduslike DNS-serverite kaaperdamiseks, et suunata DNS-i päringud ümber oma serveritesse. See tähendab, et organisatsioonid saavad "halbu" IP-aadresse, mis viitavad häkkerite (nt Google või FedEx) hallatavatele võltsveebilehtedele. Samal ajal saavad ründajad hankida kasutajakontosid ja paroole, kes neid sellistele võltsitud saitidele teadmatusest sisestavad. See ei ole DNS-i tunneldamine, vaid lihtsalt DNS-servereid kontrollivate häkkerite kahetsusväärne tagajärg.
DNS-i tunneldamise ohud
DNS-tunneldamine on nagu halbade uudiste etapi alguse indikaator. Millised? Oleme juba rääkinud mitmest, kuid struktureerime need:
- Andmete väljund (eksfiltreerimine) – häkker edastab DNS-i kaudu salaja kriitilisi andmeid. See ei ole kindlasti kõige tõhusam viis ohvri arvutist info edastamiseks - arvestades kõiki kulusid ja kodeeringuid -, kuid see toimib ja samal ajal - salaja!
- Käsud ja juhtimine (lühendatult C2) – häkkerid kasutavad DNS-protokolli lihtsate juhtkäskude saatmiseks näiteks (Kaugjuurdepääsu troojalane, lühendatult RAT).
- IP-over-DNS-tunneldamine - See võib tunduda hullumeelne, kuid on utiliite, mis rakendavad DNS-protokolli päringute ja vastuste peale IP-virna. See teeb andmeedastuse FTP, Netcati, ssh-i jne abil. suhteliselt lihtne ülesanne. Äärmiselt kurjakuulutav!
DNS-tunneli tuvastamine
DNS-i väärkasutuse tuvastamiseks on kaks peamist meetodit: koormuse analüüs ja liikluse analüüs.
juures koormuse analüüs Kaitsja otsib edasi-tagasi saadetud andmetes anomaaliaid, mida saab tuvastada statistiliste meetoditega: kummalised hostinimed, DNS-kirje tüüp, mida ei kasutata nii sageli, või ebastandardne kodeering.
juures liikluse analüüs Iga domeeni DNS-päringute arv on hinnanguline võrreldes statistilise keskmisega. DNS-tunnelit kasutavad ründajad genereerivad serverisse suure hulga liiklust. Teoreetiliselt oluliselt parem kui tavaline DNS-sõnumivahetus. Ja seda tuleb jälgida!
DNS-i tunneldamise utiliidid
Kui soovite läbi viia oma pentesti ja näha, kui hästi teie ettevõte suudab sellist tegevust tuvastada ja sellele reageerida, on selleks mitu utiliiti. Kõik nad saavad režiimis tunneldada IP-over-DNS:
- – saadaval paljudel platvormidel (Linux, Mac OS, FreeBSD ja Windows). Võimaldab installida siht- ja juhtarvuti vahele SSH-kesta. See on hea Joodi seadistamise ja kasutamise kohta.
- – Dan Kaminsky DNS-i tunneliprojekt, kirjutatud Perlis. Saate sellega ühenduse luua SSH kaudu.
- - "DNS-tunnel, mis ei tee teid haigeks." Loob krüpteeritud C2 kanali failide saatmiseks/allalaadimiseks, kestade käivitamiseks jne.
DNS-i jälgimise utiliidid
Allpool on loetelu mitmetest utiliitidest, mis on kasulikud tunnelirünnakute tuvastamiseks:
- - Pythoni moodul, mis on kirjutatud MercenaryHuntFrameworki ja Mercenary-Linuxi jaoks. Analüüsi hõlbustamiseks loeb .pcap-faile, ekstraktib DNS-päringuid ja teostab geograafilise asukoha kaardistamise.
- – Pythoni utiliit, mis loeb .pcap-faile ja analüüsib DNS-sõnumeid.
Mikro KKK DNS-tunneldamise kohta
Kasulik info küsimuste ja vastuste näol!
K: Mis on tunneldamine?
Umbes: See on lihtsalt viis andmete ülekandmiseks olemasoleva protokolli kaudu. Alusprotokoll pakub spetsiaalset kanalit või tunnelit, mida seejärel kasutatakse tegelikult edastatava teabe peitmiseks.
K: Millal viidi läbi esimene DNS-i tunnelirünnak?
Umbes: Me ei tea! Kui teate, andke meile teada. Meile teadaolevalt algatas rünnaku esimese arutelu 1998. aasta aprillis Bugtraqi meililistis Oscar Piersan.
K: Millised rünnakud sarnanevad DNS-i tunneldamisega?
Umbes: DNS pole kaugeltki ainus protokoll, mida saab tunnelimiseks kasutada. Näiteks käsu ja juhtimise (C2) pahavara kasutab sidekanali maskeerimiseks sageli HTTP-d. Nagu DNS-i tunneldamise puhul, peidab häkker oma andmed, kuid sel juhul näeb see välja nagu liiklus tavalisest veebibrauserist, mis pääseb kaugsaidile (mida juhib ründaja). See võib jääda seireprogrammidele märkamatuks, kui need pole konfigureeritud tajuma HTTP-protokolli kuritarvitamine häkkerite eesmärgil.
Kas soovite, et aitaksime DNS-tunneli tuvastamisel? Tutvuge meie mooduliga ja proovige seda tasuta !
Allikas: www.habr.com