O túnel DNS converte o sistema de nomes de dominio nunha arma para hackers. O DNS é esencialmente a enorme axenda telefónica de Internet. DNS tamén é o protocolo subxacente que permite aos administradores consultar a base de datos do servidor DNS. Ata aquí todo parece claro. Pero os hackers astutos decatáronse de que podían comunicarse en segredo co ordenador da vítima inxectando comandos de control e datos no protocolo DNS. Esta idea é a base do túnel DNS.
Como funciona o túnel DNS
Todo en Internet ten o seu propio protocolo separado. E o soporte de DNS é relativamente sinxelo tipo de solicitude-resposta. Se queres ver como funciona, podes executar nslookup, a principal ferramenta para facer consultas DNS. Podes solicitar un enderezo simplemente especificando o nome de dominio que che interesa, por exemplo:
No noso caso, o protocolo respondeu co enderezo IP do dominio. En canto ao protocolo DNS, fixen unha solicitude de enderezo ou unha chamada solicitude. tipo "A". Hai outro tipo de solicitudes, e o protocolo DNS responderá cun conxunto diferente de campos de datos que, como veremos máis adiante, poden ser explotados por hackers.
Dun xeito ou doutro, no seu núcleo, o protocolo DNS se ocupa de transmitir unha solicitude ao servidor e a súa resposta de volta ao cliente. E se un atacante engade unha mensaxe oculta dentro dunha solicitude de nome de dominio? Por exemplo, en lugar de introducir un URL completamente lexítimo, introducirá os datos que quere transmitir:
Digamos que un atacante controla o servidor DNS. Despois pode transmitir datos —datos persoais, por exemplo— sen ser necesariamente detectados. Despois de todo, por que unha consulta DNS se convertería de súpeto en algo ilexítimo?
Ao controlar o servidor, os hackers poden forxar respostas e enviar datos de volta ao sistema de destino. Isto permítelles pasar mensaxes ocultas en varios campos da resposta DNS ao malware na máquina infectada, con instrucións como buscar dentro dun cartafol específico.
A parte do "túnel" deste ataque é datos e comandos de detección por sistemas de monitorización. Os piratas informáticos poden usar xogos de caracteres base32, base64, etc. ou incluso cifrar os datos. Tal codificación pasará sen ser detectada polas utilidades simples de detección de ameazas que buscan no texto plano.
E isto é o túnel DNS!
Historial de ataques de túnel DNS
Todo ten un principio, incluída a idea de secuestrar o protocolo DNS para piratear. Polo que podemos dicir, o primeiro Este ataque foi realizado por Oskar Pearson na lista de correo Bugtraq en abril de 1998.
En 2004, o túnel DNS foi introducido en Black Hat como técnica de hacking nunha presentación de Dan Kaminsky. Así, a idea converteuse moi rapidamente nunha ferramenta de ataque real.
Hoxe, o túnel DNS ocupa unha posición segura no mapa (e adoita pedir aos blogueiros de seguridade da información que o expliquen).
Xa escoitou falar ? Esta é unha campaña en curso de grupos cibercriminais, probablemente patrocinados polo estado, para secuestrar servidores DNS lexítimos para redirixir as solicitudes de DNS aos seus propios servidores. Isto significa que as organizacións recibirán enderezos IP "malos" que apuntan a páxinas web falsas dirixidas por hackers, como Google ou FedEx. Ao mesmo tempo, os atacantes poderán obter contas de usuario e contrasinais, que os introducirán sen sabelo neses sitios falsos. Este non é un túnel DNS, senón outra desafortunada consecuencia de que os piratas informáticos controlen os servidores DNS.
Ameazas de túnel DNS
O túnel DNS é como un indicador do inicio da etapa de malas noticias. Cales? Xa falamos de varios, pero estruturalos:
- Saída de datos (exfiltración) – un hacker transmite secretamente datos críticos a través de DNS. Definitivamente, esta non é a forma máis eficiente de transferir información desde o ordenador da vítima, tendo en conta todos os custos e codificacións, pero funciona, e ao mesmo tempo, en segredo.
- Comando e control (abreviado C2) – Os piratas informáticos usan o protocolo DNS para enviar comandos de control sinxelos, por exemplo, (Troiano de acceso remoto, abreviado RAT).
- Túnel IP sobre DNS - Isto pode parecer tolo, pero hai utilidades que implementan unha pila de IP enriba das solicitudes e respostas do protocolo DNS. Fai transferencia de datos mediante FTP, Netcat, ssh, etc. unha tarefa relativamente sinxela. Extremadamente siniestro!
Detección de túnel DNS
Existen dous métodos principais para detectar o abuso de DNS: análise de carga e análise de tráfico.
En análise de carga A parte defensora busca anomalías nos datos enviados de ida e volta que poden detectarse mediante métodos estatísticos: nomes de host de aspecto estraño, un tipo de rexistro DNS que non se usa con tanta frecuencia ou codificación non estándar.
En análise de tráfico O número de solicitudes de DNS para cada dominio estímase en comparación coa media estatística. Os atacantes que usan o túnel DNS xerarán unha gran cantidade de tráfico ao servidor. En teoría, significativamente superior ao intercambio normal de mensaxes DNS. E isto hai que vixiar!
Utilidades de tunelización DNS
Se queres realizar o teu propio pentest e ver o ben que a túa empresa pode detectar e responder a tal actividade, hai varias utilidades para iso. Todos eles poden túnel no modo IP sobre DNS:
- - dispoñible en moitas plataformas (Linux, Mac OS, FreeBSD e Windows). Permite instalar un shell SSH entre os ordenadores de destino e de control. Ese é un bo sobre a configuración e uso de iodo.
- – Proxecto de túnel DNS de Dan Kaminsky, escrito en Perl. Podes conectarte a el a través de SSH.
- - "Túnel DNS que non te enferma". Crea unha canle C2 cifrada para enviar/descargar ficheiros, lanzar shells, etc.
Utilidades de monitorización de DNS
A continuación móstrase unha lista de varias utilidades que serán útiles para detectar ataques de túnel:
- – Módulo Python escrito para MercenaryHuntFramework e Mercenary-Linux. Le ficheiros .pcap, extrae consultas DNS e realiza mapas de xeolocalización para axudar na análise.
- – unha utilidade de Python que le ficheiros .pcap e analiza mensaxes DNS.
Preguntas frecuentes sobre micro túnel DNS
Información útil en forma de preguntas e respostas!
P: Que é o túnel?
SOBRE: É simplemente unha forma de transferir datos a través dun protocolo existente. O protocolo subxacente proporciona unha canle ou túnel dedicado, que despois se usa para ocultar a información que realmente se transmite.
P: Cando se levou a cabo o primeiro ataque de túnel DNS?
SOBRE: Non o sabemos! Se o sabes, avísanos. Segundo o que sabemos, a primeira discusión sobre o ataque foi iniciada por Oscar Piersan na lista de correo Bugtraq en abril de 1998.
P: Que ataques son similares ao túnel DNS?
SOBRE: DNS dista moito de ser o único protocolo que se pode usar para tunelizar. Por exemplo, o malware de comando e control (C2) adoita usar HTTP para enmascarar a canle de comunicación. Do mesmo xeito que co túnel DNS, o hacker oculta os seus datos, pero neste caso parece tráfico dun navegador web normal que accede a un sitio remoto (controlado polo atacante). Isto pode pasar desapercibido para os programas de monitorización se non están configurados para percibir abuso do protocolo HTTP con fins de piratas informáticos.
Quere que axudemos coa detección do túnel DNS? Consulta o noso módulo e probalo gratis !
Fonte: www.habr.com