DNS-tunnelointi tekee verkkotunnusjärjestelmästä hakkereiden aseen. DNS on pohjimmiltaan Internetin valtava puhelinluettelo. DNS on myös taustalla oleva protokolla, jonka avulla järjestelmänvalvojat voivat tehdä kyselyjä DNS-palvelimen tietokannasta. Toistaiseksi kaikki näyttää selvältä. Mutta ovelat hakkerit ymmärsivät, että he pystyivät salaa kommunikoimaan uhrin tietokoneen kanssa syöttämällä ohjauskomentoja ja tietoja DNS-protokollaan. Tämä idea on DNS-tunneloinnin perusta.
Kuinka DNS-tunnelointi toimii
Kaikella Internetissä on oma erillinen protokollansa. Ja DNS-tuki on suhteellisen yksinkertainen pyyntö-vastaustyyppi. Jos haluat nähdä, miten se toimii, voit suorittaa nslookupin, joka on tärkein työkalu DNS-kyselyjen tekemiseen. Voit pyytää osoitetta yksinkertaisesti määrittämällä sinua kiinnostavan verkkotunnuksen, esimerkiksi:
Meidän tapauksessamme protokolla vastasi toimialueen IP-osoitteella. DNS-protokollan osalta tein osoitepyynnön tai niin sanotun pyynnön. "Tyyppi. On olemassa muun tyyppisiä pyyntöjä, ja DNS-protokolla vastaa erilaisilla tietokentillä, joita hakkerit voivat hyödyntää, kuten myöhemmin näemme.
Tavalla tai toisella DNS-protokollan ytimessä on pyynnön lähettäminen palvelimelle ja sen vastaus takaisin asiakkaalle. Entä jos hyökkääjä lisää piilotetun viestin verkkotunnuspyyntöön? Esimerkiksi täysin laillisen URL-osoitteen kirjoittamisen sijaan hän syöttää tiedot, jotka hän haluaa lähettää:
Oletetaan, että hyökkääjä hallitsee DNS-palvelinta. Se voi sitten lähettää tietoja – esimerkiksi henkilökohtaisia tietoja – ilman, että sitä välttämättä havaitaan. Loppujen lopuksi miksi DNS-kyselystä tulisi yhtäkkiä jotain laitonta?
Hallitsemalla palvelinta hakkerit voivat väärentää vastauksia ja lähettää tietoja takaisin kohdejärjestelmään. Tämän ansiosta he voivat välittää DNS-vastauksen eri kenttiin piilotettuja viestejä tartunnan saaneessa koneessa olevalle haittaohjelmalle ohjeineen, kuten tietyn kansion sisällä tehtävä haku.
Tämän hyökkäyksen "tunnelointi" on tiedot ja komennot valvontajärjestelmien havaitsemisesta. Hakkerit voivat käyttää base32-, base64- jne. merkistöjä tai jopa salata tiedot. Sellainen koodaus kulkee huomaamatta yksinkertaisille uhkien havaitsemisapuohjelmille, jotka tekevät hakuja selkeästä tekstistä.
Ja tämä on DNS-tunnelointi!
DNS-tunnelointihyökkäysten historia
Kaikella on alku, mukaan lukien ajatus DNS-protokollan kaappaamisesta hakkerointitarkoituksiin. Sikäli kuin voimme päätellä, ensimmäinen Tämän hyökkäyksen suoritti Oskar Pearson Bugtraq-postituslistalla huhtikuussa 1998.
Vuonna 2004 DNS-tunnelointi esiteltiin Black Hatissa hakkerointitekniikana Dan Kaminskyn esityksessä. Siten ideasta kasvoi nopeasti todellinen hyökkäystyökalu.
Nykyään DNS-tunneluksella on varma paikka kartalla (ja tietoturvabloggaajia pyydetään usein selittämään se).
Oletko kuullut ko ? Tämä on kyberrikollisryhmien jatkuva kampanja – todennäköisimmin valtion tukema – kaapatakseen laillisia DNS-palvelimia ohjatakseen DNS-pyynnöt omille palvelimilleen. Tämä tarkoittaa, että organisaatiot saavat "huonoja" IP-osoitteita, jotka osoittavat hakkereiden, kuten Googlen tai FedExin, ylläpitämille väärennetyille verkkosivuille. Samaan aikaan hyökkääjät voivat hankkia käyttäjätilejä ja salasanoja, jotka syöttävät ne tietämättään tällaisille väärennetyille sivustoille. Tämä ei ole DNS-tunnelointi, vaan vain yksi valitettava seuraus DNS-palvelimia hallitsevista hakkereista.
DNS-tunnelointiuhat
DNS-tunnelointi on kuin merkki huonojen uutisten vaiheen alkamisesta. Mitkä? Olemme jo puhuneet useista, mutta rakennetaan ne:
- Datan ulostulo (suodatus) – hakkeri lähettää salaa tärkeitä tietoja DNS:n kautta. Tämä ei todellakaan ole tehokkain tapa siirtää tietoa uhrin tietokoneelta - ottaen huomioon kaikki kustannukset ja koodaukset - mutta se toimii, ja samalla - salaa!
- Komento ja ohjaus (lyhennetty C2) – hakkerit käyttävät DNS-protokollaa yksinkertaisten ohjauskomentojen lähettämiseen esim. (Remote Access Trojan, lyhennetty RAT).
- IP-over-DNS-tunnelointi - Tämä saattaa kuulostaa hullulta, mutta on apuohjelmia, jotka toteuttavat IP-pinon DNS-protokollapyyntöjen ja -vastausten päälle. Se suorittaa tiedonsiirron FTP:llä, Netcatilla, ssh:lla jne. suhteellisen yksinkertainen tehtävä. Äärimmäisen pahaenteistä!
DNS-tunneloinnin havaitseminen
DNS-väärinkäytön havaitsemiseen on kaksi päämenetelmää: kuormitusanalyysi ja liikenneanalyysi.
At kuormitusanalyysi Puolustaja etsii edestakaisin lähetettävistä tiedoista tilastollisin menetelmin havaittavia poikkeamia: oudon näköisiä isäntänimiä, harvoin käytettyä DNS-tietuetyyppiä tai epätyypillistä koodausta.
At liikenneanalyysi DNS-pyyntöjen määrä kuhunkin verkkotunnukseen on arvioitu verrattuna tilastolliseen keskiarvoon. DNS-tunnelointia käyttävät hyökkääjät tuottavat suuren määrän liikennettä palvelimelle. Teoriassa huomattavasti parempi kuin normaali DNS-viestinvaihto. Ja tätä pitää seurata!
DNS-tunnelointiapuohjelmat
Jos haluat tehdä oman pentestin ja nähdä, kuinka hyvin yrityksesi pystyy havaitsemaan ja reagoimaan tällaiseen toimintaan, siihen on useita apuohjelmia. Ne kaikki voivat tunneloida tilassa IP-Over-DNS:
- – saatavilla useilla alustoilla (Linux, Mac OS, FreeBSD ja Windows). Mahdollistaa SSH-kuoren asentamisen kohde- ja ohjaustietokoneiden väliin. Tuo on hyvä Jodin käyttöönotosta ja käytöstä.
- – DNS-tunnelointiprojekti Dan Kaminskylta, kirjoitettu Perlissä. Voit muodostaa yhteyden siihen SSH:n kautta.
- - "DNS-tunneli, joka ei tee sinua sairaaksi." Luo salatun C2-kanavan tiedostojen lähettämistä/lataamista, kuorien käynnistämistä jne.
DNS-valvontaapuohjelmat
Alla on luettelo useista apuohjelmista, joista on hyötyä tunnelointihyökkäysten havaitsemisessa:
- – Python-moduuli kirjoitettu MercenaryHuntFrameworkille ja Mercenary-Linuxille. Lukee .pcap-tiedostoja, purkaa DNS-kyselyitä ja suorittaa maantieteellisen sijainnin kartoituksia analyysin avuksi.
- – Python-apuohjelma, joka lukee .pcap-tiedostoja ja analysoi DNS-viestejä.
Micro FAQ DNS-tunneloinnista
Hyödyllistä tietoa kysymysten ja vastausten muodossa!
K: Mitä tunnelointi on?
Tietoja: Se on yksinkertaisesti tapa siirtää tietoja olemassa olevan protokollan kautta. Taustalla oleva protokolla tarjoaa erillisen kanavan tai tunnelin, jota sitten käytetään piilottamaan todellisuudessa lähetettävät tiedot.
K: Milloin ensimmäinen DNS-tunnelointihyökkäys suoritettiin?
Tietoja: Me emme tiedä! Jos tiedät, kerro meille. Tietojemme mukaan ensimmäisen keskustelun hyökkäyksestä aloitti Oscar Piersan Bugtraq-postituslistalla huhtikuussa 1998.
K: Mitkä hyökkäykset ovat samanlaisia kuin DNS-tunnelointi?
Tietoja: DNS ei ole kaukana ainoa protokolla, jota voidaan käyttää tunnelointiin. Esimerkiksi Command and Control (C2) -haittaohjelmat käyttävät usein HTTP:tä viestintäkanavan peittämiseen. Kuten DNS-tunneloinnin yhteydessä, hakkeri piilottaa tietonsa, mutta tässä tapauksessa se näyttää liikenteeltä tavallisesta verkkoselaimesta, joka käyttää etäsivustoa (hyökkääjän ohjaama). Tämä saattaa jäädä valvontaohjelmilta huomaamatta, jos niitä ei ole määritetty havaitsemaan HTTP-protokollan väärinkäyttö hakkeritarkoituksiin.
Haluatko meidän auttavan DNS-tunnelin havaitsemisessa? Tutustu moduuliimme ja kokeile ilmaiseksi !
Lähde: will.com