DNS-tunneling feroaret it domeinnammesysteem yn in wapen foar hackers. DNS is yn wêzen it enoarme tillefoanboek fan it ynternet. DNS is ek it ûnderlizzende protokol wêrmei behearders de DNS-tsjinnerdatabase kinne freegje. Oant no ta liket alles dúdlik. Mar slûchslimme hackers realisearre dat se temûk kommunisearje koenen mei de slachtofferkomputer troch kontrôlekommando's en gegevens yn it DNS-protokol yn te spuiten. Dit idee is de basis fan DNS-tunneling.
Hoe DNS-tunneling wurket
Alles op it ynternet hat in eigen apart protokol. En DNS-stipe is relatyf ienfâldich fersyk-antwurd type. As jo wolle sjen hoe't it wurket, kinne jo nslookup útfiere, it haadark foar it meitsjen fan DNS-fragen. Jo kinne in adres oanfreegje troch gewoan de domeinnamme op te jaan wêryn jo ynteressearre binne, bygelyks:
Yn ús gefal antwurde it protokol mei it domein IP-adres. Wat it DNS-protokol oanbelanget, haw ik in adresfersyk of in saneamd fersyk dien. "A" type. D'r binne oare soarten oanfragen, en it DNS-protokol sil reagearje mei in oare set fan gegevensfjilden, dy't, lykas wy letter sille sjen, kinne wurde eksploitearre troch hackers.
Op ien of oare manier, yn har kearn, is it DNS-protokol dwaande mei it ferstjoeren fan in fersyk nei de tsjinner en har antwurd werom nei de kliïnt. Wat as in oanfaller in ferburgen berjocht tafoeget yn in domeinnammefersyk? Bygelyks, ynstee fan in folslein legitime URL yn te fieren, sil hy de gegevens ynfiere dy't hy oerstjoere wol:
Litte wy sizze dat in oanfaller de DNS-tsjinner kontrolearret. It kin dan gegevens oerstjoere - persoanlike gegevens, bygelyks - sûnder dat se needsaaklikerwize ûntdutsen wurde. Ommers, wêrom soe in DNS-query ynienen wat illegitime wurde?
Troch it kontrolearjen fan de tsjinner kinne hackers antwurden fermeitsje en gegevens werom stjoere nei it doelsysteem. Hjirmei kinne se berjochten ferburgen yn ferskate fjilden fan 'e DNS-antwurd trochjaan oan' e malware op 'e ynfekteare masine, mei ynstruksjes lykas sykjen yn in spesifike map.
It "tunneling" diel fan dizze oanfal is gegevens en kommando's út detectie troch tafersjochsystemen. Hackers kinne base32, base64, ensfh. karaktersets brûke, of sels de gegevens fersiferje. Sokke kodearring sil net ûntdutsen passe troch ienfâldige bedrigingsdeteksjeprogramma's dy't de platte tekst sykje.
En dit is DNS-tunneling!
Skiednis fan DNS-tunneling-oanfallen
Alles hat in begjin, ynklusyf it idee om it DNS-protokol te kapjen foar hackingdoelen. Sa fier as wy kinne fertelle, de earste Dizze oanfal waard útfierd troch Oskar Pearson op 'e Bugtraq-mailinglist yn april 1998.
Tsjin 2004 waard DNS-tunneling yntrodusearre by Black Hat as in hacktechnyk yn in presintaasje fan Dan Kaminsky. Sa groeide it idee heul gau út ta in echt oanfalsynstrumint.
Tsjintwurdich nimt DNS-tunneling in betroubere posysje yn op 'e kaart (en ynformaasjefeiligensbloggers wurde faak frege om it út te lizzen).
Ha jo heard oer ? Dit is in oanhâldende kampanje troch cyberkriminele groepen - nei alle gedachten troch de steat sponsore - om legitime DNS-tsjinners te kapjen om DNS-oanfragen nei har eigen servers troch te lieden. Dit betsjut dat organisaasjes "minne" IP-adressen krije dy't ferwize nei falske websiden dy't rinne troch hackers, lykas Google of FedEx. Tagelyk sille oanfallers brûkersakkounts en wachtwurden kinne krije, dy't se ûnbewust ynfiere op sokke falske siden. Dit is gjin DNS-tunneling, mar gewoan in oare ûngelokkige gefolch fan hackers dy't DNS-tsjinners kontrolearje.
DNS tunneling bedrigings
DNS-tunneling is as in yndikator fan it begjin fan it minne nijspoadium. Hokker? Wy hawwe al oer ferskate praat, mar litte wy se strukturearje:
- Gegevensútfier (eksfiltraasje) - in hacker stjoert geheim krityske gegevens oer DNS. Dit is perfoarst net de meast effisjinte manier om ynformaasje oer te bringen fan 'e slachtofferkomputer - rekken hâldend mei alle kosten en kodearrings - mar it wurket, en tagelyk - temûk!
- Kommando en kontrôle (ôfkoarte C2) - hackers brûke it DNS-protokol om ienfâldige kontrôlekommando's te stjoeren fia, bygelyks, (Trojan op ôfstân, ôfkoarte RAT).
- IP-Over-DNS Tunneling - Dit klinkt miskien gek, mar d'r binne nutsbedriuwen dy't in IP-stapel ymplementearje boppe op DNS-protokoloanfragen en antwurden. It makket gegevensferfier mei FTP, Netcat, ssh, ensfh. in relatyf ienfâldige taak. Ekstreem onheilspellend!
Detecting DNS-tunneling
D'r binne twa haadmetoaden foar it opspoaren fan DNS-misbrûk: loadanalyse en ferkearsanalyse.
at load analyze De ferdigenjende partij siket nei anomalies yn 'e gegevens dy't hinne en wer ferstjoerd wurde dy't kinne wurde ûntdutsen troch statistyske metoaden: frjemde hostnammen, in DNS-recordtype dat net sa faak brûkt wurdt, of net-standert kodearring.
at ferkear analyze It oantal DNS-oanfragen foar elk domein wurdt rûsd yn ferliking mei it statistyske gemiddelde. Oanfallers dy't DNS-tunneling brûke, sille in grut bedrach fan ferkear generearje nei de tsjinner. Yn teory, signifikant superieur oan normale DNS-berjochtútwikseling. En dit moat kontrolearre wurde!
Utilities foar DNS-tunneling
As jo jo eigen pentest wolle útfiere en sjen hoe goed jo bedriuw sokke aktiviteit kin detectearje en reagearje, binne d'r ferskate nutsfoarsjenningen foar dit. Allegear kinne tunnel yn 'e modus IP-Over-DNS:
- - beskikber op in protte platfoarms (Linux, Mac OS, FreeBSD en Windows). Hjirmei kinne jo in SSH-shell ynstallearje tusken de doel- en kontrôlekomputers. Dat is in goeie oer it ynstellen en brûken fan Iodine.
- - DNS-tunnelingprojekt fan Dan Kaminsky, skreaun yn Perl. Jo kinne dermei ferbine fia SSH.
- - "DNS-tunnel dy't jo net siik makket." Meitsje in fersifere C2-kanaal foar it ferstjoeren/downloaden fan bestannen, it lansearjen fan shells, ensfh.
Utilities foar DNS-monitoring
Hjirûnder is in list mei ferskate nutsbedriuwen dy't nuttich sille wêze foar it opspoaren fan tunnelingoanfallen:
- - Python-module skreaun foar MercenaryHuntFramework en Mercenary-Linux. Lês .pcap-bestannen, ekstrakt DNS-fragen en fiert geolokaasje-mapping om te helpen by analyse.
- – in Python-helpprogramma dat .pcap-bestannen lêst en DNS-berjochten analysearret.
Mikro FAQ oer DNS-tunneling
Nuttige ynformaasje yn 'e foarm fan fragen en antwurden!
F: Wat is tunneling?
Oer: It is gewoan in manier om gegevens oer in besteande protokol oer te dragen. It ûnderlizzende protokol leveret in tawijd kanaal as tunnel, dy't dan wurdt brûkt om de ynformaasje dy't wirklik wurdt oerdroegen te ferbergjen.
F: Wannear waard de earste DNS-tunneling-oanfal útfierd?
Oer: Wy witte it net! As jo witte, lit it ús dan witte. Nei it bêste fan ús witten waard de earste diskusje oer de oanfal inisjearre troch Oscar Piersan yn 'e Bugtraq-mailinglist yn april 1998.
F: Hokker oanfallen binne fergelykber mei DNS-tunneling?
Oer: DNS is fier fan it ienige protokol dat kin wurde brûkt foar tunneling. Bygelyks, kommando en kontrôle (C2) malware brûkt faak HTTP om it kommunikaasjekanaal te maskerjen. Lykas by DNS-tunneling ferberget de hacker syn gegevens, mar yn dit gefal liket it ferkear fan in gewoane webblêder dy't tagong hat ta in side op ôfstân (bestjoerd troch de oanfaller). Dit kin ûngemurken bliuwe troch tafersjochprogramma's as se net binne ynsteld om te waarnimmen misbrûk fan it HTTP-protokol foar hackerdoelen.
Wolle jo ús helpe mei DNS-tunneldeteksje? Besjoch ús module en besykje it fergees !
Boarne: www.habr.com