DNS tunelak domeinu-izen sistema hackerrentzako arma bihurtzen du. DNS funtsean Interneteko telefono-liburu erraldoia da. DNS administratzaileek DNS zerbitzariaren datu-basea kontsultatzeko aukera ematen dien azpiko protokoloa ere bada. Orain arte dena argia dirudi. Baina hacker maltzurrak konturatu ziren ezkutuan komunika zitezkeela biktimaren ordenagailuarekin kontrol komandoak eta datuak DNS protokoloan sartuz. Ideia hau DNS tunelaren oinarria da.
DNS tunelak nola funtzionatzen duen
Interneten denak bere protokolo propioa du. Eta DNS laguntza nahiko erraza da eskaera-erantzun mota. Nola funtzionatzen duen ikusi nahi baduzu, nslookup exekutatu dezakezu, DNS kontsultak egiteko tresna nagusia. Helbide bat eska dezakezu interesatzen zaizun domeinu-izena zehaztuta, adibidez:
Gure kasuan, protokoloak domeinuko IP helbidearekin erantzun zuen. DNS protokoloari dagokionez, helbide-eskaera edo eskaera deiturikoa egin nuen. "A" mota. Beste eskaera mota batzuk daude, eta DNS protokoloak datu-eremu ezberdin batekin erantzungo du, gero ikusiko dugunez, hackerrek ustiatu ditzaketenak.
Modu batera edo bestera, bere oinarrian, DNS protokoloa zerbitzariari eskaera bat eta bere erantzuna bezeroari itzultzeaz arduratzen da. Zer gertatzen da erasotzaile batek domeinu-izen eskaera baten barruan ezkutuko mezu bat gehitzen badu? Adibidez, guztiz zilegi den URL bat sartu beharrean, transmititu nahi dituen datuak sartuko ditu:
Demagun erasotzaile batek DNS zerbitzaria kontrolatzen duela. Ondoren, datuak transmiti ditzake βdatu pertsonalak, adibidezβ, nahitaez detektatu gabe. Azken finean, zergatik bihurtuko litzateke bat-batean DNS kontsulta bat legez kanpoko zerbait?
Zerbitzaria kontrolatuz, hacker-ek erantzunak forja ditzakete eta datuak helburu-sistemara itzul ditzakete. Horri esker, DNS erantzunaren hainbat eremutan ezkutatuta dauden mezuak kutsatutako makina malwarera pasatzen dituzte, karpeta zehatz baten barruan bilatzeko jarraibideekin.
Eraso honen "tunelaren" zatia da monitorizazio sistemen bidez hautemateko datuak eta aginduak. Hacker-ek base32, base64 eta abar karaktere multzoak erabil ditzakete, edo baita datuak enkriptatu ere. Testu arruntean bilatzen duten mehatxuak hautemateko utilitate soilek detektatu gabe igaroko da kodeketa hori.
Eta hau DNS tunelizazioa da!
DNS tunelaren erasoen historia
Dena du hasiera bat, hackeatzeko DNS protokoloa bahitzearen ideia barne. Kontatu ahal dugunez, lehenengoa Eraso hau Oskar Pearsonek egin zuen Bugtraq posta-zerrendan 1998ko apirilean.
2004rako, Black Hat-en DNS tunelak hacking teknika gisa sartu ziren Dan Kaminskyren aurkezpen batean. Horrela, ideia oso azkar hazi zen benetako eraso tresna izatera.
Gaur egun, DNS tunelak posizio segurua hartzen du mapan (eta informazioaren segurtasuneko blogari askotan eskatzen zaie azaltzeko).
Entzun al duzu ? Ziberkriminal taldeek etengabeko kanpaina bat da, ziurrenik estatuak babestutakoak, DNS zerbitzari legitimoak bahitzeko, DNS eskaerak beren zerbitzarietara birbideratzeko. Horrek esan nahi du erakundeek hackerrek zuzendutako web orri faltsuetara seinalatzen duten IP helbide "txarrak" jasoko dituztela, hala nola Google edo FedEx. Aldi berean, erasotzaileek erabiltzaile-kontuak eta pasahitzak eskuratu ahal izango dituzte, eta horiek jakin gabe sartuko dituzte horrelako gune faltsuetan. Hau ez da DNS tunelak, hacker-ek DNS zerbitzariak kontrolatzen dituzten zorigaiztoko beste ondorio bat baizik.
DNS tunelaren mehatxuak
DNS tunelak albiste txarren etaparen hasieraren adierazle bezalakoa da. Zeintzuk? Hainbatetaz hitz egin dugu dagoeneko, baina egitura ditzagun:
- Datuen irteera (esfiltrazioa) β Hacker batek ezkutuan bidaltzen ditu datu kritikoak DNS bidez. Hau ez da, zalantzarik gabe, biktimaren ordenagailutik informazioa transferitzeko modurik eraginkorrena -kostu eta kode guztiak kontuan hartuta- baina funtzionatzen du, eta aldi berean, ezkutuan!
- Agindua eta Kontrola (C2 laburtua) - Hacker-ek DNS protokoloa erabiltzen dute kontrol-komando sinpleak bidaltzeko, esate baterako, (Urrutiko Sarbide Troiako, RAT laburtua).
- IP-gaineko DNS tunelak - Erokeria dirudi, baina badira DNS protokoloko eskaeren eta erantzunen gainean IP pila bat ezartzen duten utilitateak. Datuen transferentzia egiten du FTP, Netcat, ssh, etab. nahiko lan sinplea. Oso minagarria!
DNS tunelak detektatzen
DNS gehiegikeria detektatzeko bi metodo nagusi daude: kargaren azterketa eta trafikoaren azterketa.
Egun karga-analisia Alderdi defendatzaileak metodo estatistikoen bidez antzeman daitezkeen hara eta hona bidalitako datuetan anomaliak bilatzen ditu: itxura arraroa duten ostalari-izenak, maiz erabiltzen ez den DNS erregistro mota bat edo kodeketa ez-estandarra.
Egun trafikoaren azterketa Domeinu bakoitzerako DNS eskaera kopurua kalkulatzen da batez besteko estatistikoarekin alderatuta. DNS tunelak erabiltzen dituzten erasotzaileek trafiko kopuru handia sortuko dute zerbitzarirako. Teorian, DNS mezuen truke arruntaren gainetik nabarmen. Eta hau kontrolatu egin behar da!
DNS tunelaren utilitateak
Zure pentesta egin nahi baduzu eta zure enpresak jarduera hori nola detektatu eta erantzun dezakeen ikusi nahi baduzu, hainbat utilitate daude horretarako. Horiek guztiek tunelak egin ditzakete moduan IP-gaineko DNS:
- - plataforma askotan eskuragarri (Linux, Mac OS, FreeBSD eta Windows). Helburuko eta kontroleko ordenagailuen artean SSH shell bat instalatzeko aukera ematen du. Hori ona da Iodoa ezarri eta erabiltzeari buruz.
- β Dan Kaminsky-ren DNS tunel-proiektua, Perl-en idatzia. SSH bidez konekta zaitezke.
- - "Gaixotzen ez zaituen DNS tunela". C2 kanal enkriptatutako bat sortzen du fitxategiak bidaltzeko/deskargatzeko, shell-ak abiarazteko, etab.
DNS monitorizatzeko utilitateak
Jarraian, tunel-erasoak detektatzeko erabilgarriak izango diren hainbat utilitateren zerrenda dago:
- β MercenaryHuntFramework eta Mercenary-Linux-erako idatzitako Python modulua. .pcap fitxategiak irakurtzen ditu, DNS kontsultak ateratzen ditu eta geokokapen mapak egiten ditu azterketan laguntzeko.
- β .pcap fitxategiak irakurtzen dituen eta DNS mezuak aztertzen dituen Python utilitate bat.
DNS tunelari buruzko Mikro FAQ
Informazio erabilgarria galdera eta erantzun moduan!
G: Zer da tunelak?
About: Datuak lehendik dagoen protokolo baten bidez transferitzeko modu bat besterik ez da. Azpiko protokoloak kanal edo tunela dedikatu bat eskaintzen du, eta gero benetan transmititzen den informazioa ezkutatzeko erabiltzen da.
G: Noiz egin zen DNS tunelaren lehen erasoa?
About: Ez dakigu! Badakizu, mesedez, jakinarazi iezaguzu. Dakigunez, erasoaren lehen eztabaida Oscar Piersanek hasi zuen Bugtraq posta-zerrendan 1998ko apirilean.
G: Zein eraso dira DNS tunelaren antzekoak?
About: DNS tunelak egiteko erabil daitekeen protokolo bakarra urrun dago. Adibidez, komando eta kontrol (C2) malwareak HTTP erabiltzen du askotan komunikazio kanala ezkutatzeko. DNS tunelarekin gertatzen den bezala, hackerrak bere datuak ezkutatzen ditu, baina kasu honetan ohiko web arakatzaile batetik urruneko gune batera sartzen den trafikoa dirudi (erasotzaileak kontrolatuta). Baliteke hori oharkabean pasatzea programak kontrolatuz, hautemateko konfiguratuta ez badaude HTTP protokoloaren gehiegikeria hacker helburuetarako.
DNS tunelaren detekzioan laguntzea nahi al duzu? Begiratu gure modulua eta proba ezazu doan !
Iturria: www.habr.com