A DNS-alagút a hackerek fegyverévé változtatja a domain névrendszert. A DNS lényegében az internet hatalmas telefonkönyve. A DNS egyben az alapul szolgáló protokoll is, amely lehetővé teszi a rendszergazdáknak a DNS-kiszolgáló adatbázisának lekérdezését. Eddig minden világosnak tűnik. Ám a ravasz hackerek rájöttek, hogy titokban kommunikálhatnak az áldozat számítógépével, ha vezérlőparancsokat és adatokat fecskendeznek be a DNS-protokollba. Ez az ötlet a DNS-alagút alapja.
Hogyan működik a DNS-alagút
Az interneten mindennek megvan a maga külön protokollja. A DNS-támogatás pedig viszonylag egyszerű kérés-válasz típus. Ha látni szeretné, hogyan működik, futtassa az nslookup-ot, a DNS-lekérdezések fő eszközét. Címet kérhet egyszerűen az Önt érdeklő domain név megadásával, például:
Esetünkben a protokoll a tartomány IP-címével válaszolt. A DNS-protokoll szempontjából címkérést, vagy ún. "Egy típus. Léteznek más típusú kérések is, és a DNS-protokoll más adatmezőkészlettel válaszol, amit, mint később látni fogjuk, kihasználhatják a hackerek.
Így vagy úgy, a DNS-protokoll lényege egy kérés továbbítása a kiszolgálóhoz, és válasza az ügyfélnek. Mi a teendő, ha egy támadó rejtett üzenetet ad hozzá egy domainnév-kérelemhez? Például ahelyett, hogy egy teljesen legitim URL-t írna be, beírja a továbbítani kívánt adatokat:
Tegyük fel, hogy egy támadó irányítja a DNS-kiszolgálót. Ezután adatokat – például személyes adatokat – továbbíthat anélkül, hogy szükségszerűen észlelnék. Végtére is, miért lesz egy DNS-lekérdezés hirtelen valami illegitim?
A szerver vezérlésével a hackerek válaszokat hamisíthatnak, és adatokat küldhetnek vissza a célrendszernek. Ez lehetővé teszi számukra, hogy a DNS-válasz különböző mezőiben rejtett üzeneteket továbbítsanak a fertőzött gépen lévő rosszindulatú programokra, olyan utasításokkal, mint például a keresés egy adott mappában.
Ennek a támadásnak az "alagút" része megfigyelőrendszerek észleléséből származó adatok és parancsok. A hackerek használhatnak base32, base64 stb. karakterkészleteket, vagy akár titkosíthatják is az adatokat. Az ilyen kódolás észrevétlenül halad át az egyszerű fenyegetésészlelő segédprogramok számára, amelyek az egyszerű szövegben keresnek.
És ez a DNS alagút!
DNS-alagúttámadások története
Mindennek van kezdete, beleértve a DNS-protokoll hackelési célú eltérítésének gondolatát is. Amennyire meg tudjuk állapítani, az első Ezt a támadást Oskar Pearson követte el a Bugtraq levelezőlistán 1998 áprilisában.
2004-re Dan Kaminsky előadásában bemutatták a DNS-alagútot a Black Hatnél, mint hackelési technikát. Így az ötlet nagyon gyorsan valódi támadási eszközzé nőtte ki magát.
Ma a DNS-alagút magabiztos pozíciót foglal el a térképen (és az információbiztonsági bloggereket gyakran megkérik ennek magyarázatára).
Hallottál már arról ? Ez a kiberbűnözői csoportok – nagy valószínűséggel államilag támogatott – folyamatos kampánya a legitim DNS-kiszolgálók eltérítésére, hogy a DNS-kérelmeket saját szervereikre irányítsák át. Ez azt jelenti, hogy a szervezetek „rossz” IP-címeket kapnak, amelyek hackerek, például a Google vagy a FedEx által üzemeltetett hamis weboldalakra mutatnak. Ugyanakkor a támadók felhasználói fiókokat és jelszavakat is szerezhetnek majd, akik tudtukon kívül beírják ezeket az ilyen hamis oldalakra. Ez nem DNS-alagút, hanem a DNS-kiszolgálókat irányító hackerek újabb sajnálatos következménye.
DNS-alagút fenyegetések
A DNS-alagút olyan, mint a rossz hírek szakaszának kezdete. Melyikek? Többről beszéltünk már, de strukturáljuk őket:
- Adatkimenet (kiszűrés) – egy hacker titokban kritikus adatokat továbbít DNS-en keresztül. Ez határozottan nem a leghatékonyabb módja az információ átvitelének az áldozat számítógépéről - minden költséget és kódolást figyelembe véve -, de működik, és egyben - titokban!
- Parancs és vezérlés (rövidítve C2) – a hackerek a DNS protokollt használják egyszerű vezérlőparancsok küldésére, mondjuk (Remote Access Trojan, rövidítve RAT).
- IP-over-DNS Tunneling - Ez őrülten hangzik, de vannak olyan segédprogramok, amelyek IP-vermet valósítanak meg a DNS-protokoll-kérések és -válaszok tetején. Adatátvitelt végez FTP, Netcat, ssh stb. használatával. viszonylag egyszerű feladat. Rendkívül baljóslatú!
DNS-alagút észlelése
Két fő módszer létezik a DNS-visszaélés észlelésére: terheléselemzés és forgalomelemzés.
-On terhelés elemzése A védekező fél az oda-vissza küldött adatokban statisztikai módszerekkel észlelhető anomáliákat keres: furcsán kinéző gazdagépneveket, ritkábban használt DNS-rekordtípust vagy nem szabványos kódolást.
-On forgalomelemzés az egyes tartományokhoz érkező DNS-kérelmek számát a statisztikai átlaghoz viszonyítva becsülik. A DNS-alagutazást használó támadók nagy mennyiségű forgalmat generálnak a szerver felé. Elméletileg lényegesen jobb, mint a normál DNS üzenetváltás. És ezt figyelni kell!
DNS alagútépítő segédprogramok
Ha saját pentesztet szeretne végezni, és meg szeretné nézni, hogy cége mennyire képes észlelni és reagálni az ilyen tevékenységekre, akkor ehhez számos segédprogram létezik. Mindegyik képes alagútra módban IP-over-DNS:
- – számos platformon elérhető (Linux, Mac OS, FreeBSD és Windows). Lehetővé teszi SSH-héj telepítését a cél- és a vezérlőszámítógépek közé. Az egy jó a jód beállításáról és használatáról.
- – DNS tunneling projekt Dan Kaminskytól, Perl nyelven írva. SSH-n keresztül lehet csatlakozni hozzá.
- - „DNS-alagút, amitől nem leszel beteg.” Titkosított C2 csatornát hoz létre fájlok küldéséhez/letöltéséhez, shell-ek indításához stb.
DNS-figyelő segédprogramok
Az alábbiakban felsorolunk néhány olyan segédprogramot, amelyek hasznosak lehetnek az alagúttámadások észleléséhez:
- – MercenaryHuntFramework és Mercenary-Linux számára írt Python modul. Beolvassa a .pcap fájlokat, kibontja a DNS-lekérdezéseket, és földrajzi helymeghatározást végez az elemzés elősegítése érdekében.
- – Python segédprogram, amely beolvassa a .pcap fájlokat és elemzi a DNS-üzeneteket.
Mikro GYIK a DNS-alagúttal kapcsolatban
Hasznos információk kérdések és válaszok formájában!
K: Mi az alagútépítés?
RÓL RŐL: Ez egyszerűen egy módja az adatok átvitelének egy meglévő protokollon keresztül. Az alapul szolgáló protokoll egy dedikált csatornát vagy alagutat biztosít, amelyet aztán a ténylegesen továbbított információ elrejtésére használnak.
K: Mikor hajtották végre az első DNS-alagúttámadást?
RÓL RŐL: Nem tudjuk! Ha tudja, kérem jelezze felénk. Legjobb tudomásunk szerint a támadás első megbeszélését Oscar Piersan kezdeményezte a Bugtraq levelezőlistán 1998 áprilisában.
K: Milyen támadások hasonlítanak a DNS-alagúthoz?
RÓL RŐL: A DNS messze nem az egyetlen protokoll, amely alagútkezelésre használható. Például a parancs és vezérlő (C2) rosszindulatú programok gyakran HTTP-t használnak a kommunikációs csatorna elfedésére. A DNS-alagúthoz hasonlóan a hacker elrejti az adatait, de ebben az esetben úgy néz ki, mint egy hagyományos webböngészőből érkező forgalom, amely egy távoli (a támadó által irányított) webhelyet éri el. Ez észrevétlen maradhat a megfigyelő programok számára, ha nincsenek beállítva érzékelésre a HTTP protokollal való visszaélés hacker célokra.
Szeretné, hogy segítsünk a DNS-alagút észlelésében? Tekintse meg modulunkat és próbáld ki ingyen !
Forrás: will.com