Ի՞նչ է DNS թունելավորումը: Հայտնաբերման հրահանգներ

DNS թունելավորումը դոմենի անվանման համակարգը վերածում է հաքերների զենքի։ DNS-ը, ըստ էության, ինտերնետի հսկայական հեռախոսագիրքն է: DNS-ը նաև հիմքում ընկած արձանագրությունն է, որը թույլ է տալիս ադմինիստրատորներին հարցումներ կատարել DNS սերվերի տվյալների բազայում: Առայժմ ամեն ինչ պարզ է թվում։ Սակայն խորամանկ հաքերները հասկացան, որ կարող են գաղտնի շփվել զոհի համակարգչի հետ՝ ներարկելով կառավարման հրամաններ և տվյալներ DNS արձանագրության մեջ: Այս գաղափարը DNS թունելավորման հիմքն է:

Ինչպես է աշխատում DNS թունելավորումը

Ինտերնետում ամեն ինչ ունի իր առանձին արձանագրությունը: Իսկ DNS-ի աջակցությունը համեմատաբար պարզ է արձանագրությունը հարցում-պատասխան տեսակը. Եթե ​​ցանկանում եք տեսնել, թե ինչպես է այն աշխատում, կարող եք գործարկել nslookup-ը՝ DNS հարցումներ կատարելու հիմնական գործիքը: Դուք կարող եք հասցե պահանջել՝ պարզապես նշելով ձեզ հետաքրքրող դոմենի անունը, օրինակ՝

Մեր դեպքում արձանագրությունը արձագանքեց տիրույթի IP հասցեով: DNS պրոտոկոլի մասով ես արել եմ հասցեի հարցում կամ այսպես կոչված հարցում։ «Ա» տիպ. Կան այլ տեսակի հարցումներ, և DNS արձանագրությունը կպատասխանի տվյալների դաշտերի այլ հավաքածուով, որոնք, ինչպես կտեսնենք ավելի ուշ, կարող են շահագործվել հաքերների կողմից:

Այսպես թե այնպես, իր հիմքում DNS արձանագրությունը վերաբերում է սերվերին հարցումը փոխանցելուն և հաճախորդին դրա պատասխանին: Ի՞նչ կլինի, եթե հարձակվողն ավելացնի թաքնված հաղորդագրություն դոմենի անվան հարցում: Օրինակ, ամբողջովին օրինական URL մուտքագրելու փոխարեն նա մուտքագրելու է այն տվյալները, որոնք ցանկանում է փոխանցել.

Ենթադրենք, հարձակվողը վերահսկում է DNS սերվերը: Այնուհետև այն կարող է փոխանցել տվյալներ, օրինակ՝ անձնական տվյալներ՝ առանց պարտադիր հայտնաբերման: Ի վերջո, ինչու՞ DNS հարցումը հանկարծ կդառնա ոչ լեգիտիմ:

Վերահսկելով սերվերը՝ հաքերները կարող են կեղծել պատասխանները և հետ ուղարկել տվյալներ թիրախային համակարգ: Սա թույլ է տալիս նրանց փոխանցել հաղորդագրություններ, որոնք թաքցված են DNS-ի պատասխանի տարբեր դաշտերում վարակված մեքենայի չարամիտ ծրագրին, հրահանգներով, ինչպիսիք են որոնումը որոշակի թղթապանակում:

Այս հարձակման «թունելային» մասն է քողարկում մոնիտորինգի համակարգերի կողմից հայտնաբերման տվյալները և հրամանները: Հաքերները կարող են օգտագործել base32, base64 և այլն նիշերի հավաքածուներ կամ նույնիսկ գաղտնագրել տվյալները: Նման կոդավորումն աննկատ կանցնի սպառնալիքների հայտնաբերման պարզ ծրագրերի միջոցով, որոնք որոնում են պարզ տեքստը:

Եվ սա DNS թունելավորում է:

DNS թունելային հարձակումների պատմություն

Ամեն ինչ ունի սկիզբ, ներառյալ DNS արձանագրությունը հաքերային նպատակով հափշտակելու գաղափարը: Որքան կարող ենք ասել, առաջինը քննարկում Այս հարձակումն իրականացվել է Օսկար Փիրսոնի կողմից Bugtraq փոստային ցուցակում 1998 թվականի ապրիլին։

2004 թվականին DNS թունելավորումը ներկայացվեց Black Hat-ում որպես հաքերային տեխնիկա Դան Կամինսկու ներկայացման ժամանակ: Այսպիսով, գաղափարը շատ արագ վերածվեց իրական հարձակման գործիքի:

Այսօր DNS թունելավորումը վստահ դիրք է զբաղեցնում քարտեզի վրա հնարավոր սպառնալիքներ (և տեղեկատվական անվտանգության բլոգերներին հաճախ խնդրում են բացատրել դա):

Լսե՞լ եք դրա մասին Ծովային կրիա ? Սա կիբերհանցագործ խմբերի կողմից շարունակվող արշավ է, որը, ամենայն հավանականությամբ, պետականորեն հովանավորվում է, օրինական DNS սերվերները առևանգելու համար՝ DNS հարցումները վերահղելու իրենց սերվերներին: Սա նշանակում է, որ կազմակերպությունները կստանան «վատ» IP հասցեներ, որոնք մատնանշում են հաքերների կողմից ղեկավարվող կեղծ վեբ էջերը, ինչպիսիք են Google-ը կամ FedEx-ը: Միաժամանակ հարձակվողները կկարողանան ձեռք բերել օգտատերերի հաշիվներ և գաղտնաբառեր, որոնք անգիտակցաբար դրանք մուտքագրելու են նման կեղծ կայքերում։ Սա DNS թունելավորում չէ, այլ հաքերների կողմից DNS սերվերները վերահսկելու ևս մեկ անհաջող հետևանք:

DNS թունելավորման սպառնալիքներ

DNS թունելավորումը նման է վատ նորությունների փուլի սկզբի ցուցիչի: Որ մեկը? Մենք արդեն խոսել ենք մի քանիսի մասին, բայց եկեք դրանք կառուցենք.

• Տվյալների ելք (էքսֆիլտրացիա) – հաքերը գաղտնի փոխանցում է կրիտիկական տվյալներ DNS-ի միջոցով: Սա, անկասկած, զոհի համակարգչից տեղեկատվություն փոխանցելու ամենաարդյունավետ միջոցը չէ՝ հաշվի առնելով բոլոր ծախսերն ու կոդավորումները, բայց այն աշխատում է, և միևնույն ժամանակ՝ գաղտնի:
• Հրաման և կառավարում (կրճատ՝ C2) – հաքերներն օգտագործում են DNS արձանագրությունը՝ պարզ կառավարման հրամաններ ուղարկելու համար, ասենք, հեռավոր մուտքի տրոյան (Remote Access Trojan, կրճատ RAT):
• IP-Over-DNS թունելավորում - Սա կարող է խելահեղ թվալ, բայց կան կոմունալ ծառայություններ, որոնք իրականացնում են IP փաթեթ DNS արձանագրության հարցումների և պատասխանների վերևում: Այն կատարում է տվյալների փոխանցում՝ օգտագործելով FTP, Netcat, ssh և այլն: համեմատաբար պարզ խնդիր. Չափազանց չարագուշակ:

DNS թունելների հայտնաբերում

DNS-ի չարաշահումը հայտնաբերելու երկու հիմնական մեթոդ կա՝ բեռնվածության վերլուծություն և երթևեկության վերլուծություն:

Ի բեռի վերլուծություն Պաշտպանող կողմը փնտրում է անոմալիաներ ետ և առաջ ուղարկվող տվյալների մեջ, որոնք կարող են հայտնաբերվել վիճակագրական մեթոդներով. տարօրինակ տեսք ունեցող հյուրընկալող անուններ, DNS գրառումների տեսակ, որը այնքան հաճախ չի օգտագործվում, կամ ոչ ստանդարտ կոդավորում:

Ի երթեւեկության վերլուծություն Յուրաքանչյուր տիրույթում DNS հարցումների քանակը գնահատվում է վիճակագրական միջինի համեմատ: DNS թունելավորում օգտագործող հարձակվողները մեծ քանակությամբ տրաֆիկ կստեղծեն դեպի սերվեր: Տեսականորեն, զգալիորեն գերազանցում է նորմալ DNS հաղորդագրությունների փոխանակումը: Եվ սա պետք է վերահսկվի:

DNS թունելային կոմունալ ծառայություններ

Եթե ​​ցանկանում եք անցկացնել ձեր սեփական փորձարկումը և տեսնել, թե որքան լավ է ձեր ընկերությունը կարող հայտնաբերել և արձագանքել նման գործունեությանը, դրա համար կան մի քանի կոմունալ ծառայություններ: Նրանք բոլորը կարող են թունել ռեժիմում IP-Over-DNS:

• Յոդ – հասանելի է բազմաթիվ հարթակներում (Linux, Mac OS, FreeBSD և Windows): Թույլ է տալիս տեղադրել SSH թաղանթ թիրախային և հսկիչ համակարգիչների միջև: Դա լավ է ուղեցույց Յոդի տեղադրման և օգտագործման վերաբերյալ:
• OzymanDNS – DNS թունելային նախագիծ Դան Կամինսկիից, գրված Perl-ով: Դուք կարող եք միանալ դրան SSH-ի միջոցով:
• DNSCat2 - «DNS թունել, որը ձեզ չի հիվանդացնում»: Ստեղծում է կոդավորված C2 ալիք՝ ֆայլեր ուղարկելու/ներբեռնելու, պատյաններ գործարկելու և այլն:

DNS մոնիտորինգի կոմունալ ծառայություններ

Ստորև բերված է մի քանի կոմունալ ծրագրերի ցանկ, որոնք օգտակար կլինեն թունելային հարձակումները հայտնաբերելու համար.

• dns Hunter – Python մոդուլ՝ գրված MercenaryHuntFramework-ի և Mercenary-Linux-ի համար: Կարդում է .pcap ֆայլերը, քաղում է DNS հարցումներ և կատարում է աշխարհագրական քարտեզագրում՝ օգնելու վերլուծությանը:
• reassemble_dns – Python-ի օգտակար ծրագիր, որը կարդում է .pcap ֆայլերը և վերլուծում DNS հաղորդագրությունները:

Միկրո ՀՏՀ DNS թունելավորման վերաբերյալ

Օգտակար տեղեկատվություն հարց ու պատասխանի տեսքով:

Հարց: Ի՞նչ է թունելավորումը:
Մասին: Սա պարզապես գոյություն ունեցող արձանագրության միջոցով տվյալներ փոխանցելու միջոց է: Հիմքում ընկած արձանագրությունն ապահովում է հատուկ ալիք կամ թունել, որն այնուհետև օգտագործվում է իրականում փոխանցվող տեղեկատվությունը թաքցնելու համար:

Հարց. Ե՞րբ է իրականացվել DNS թունելավորման առաջին հարձակումը:
Մասին: Մենք չգիտենք! Եթե ​​գիտեք, խնդրում ենք տեղեկացնել մեզ: Մեր տեղեկություններով, հարձակման առաջին քննարկումը նախաձեռնել է Օսկար Պիրսանը Bugtraq փոստային ցուցակում 1998 թվականի ապրիլին:

Հարց. Ի՞նչ հարձակումներ են նման DNS թունելավորմանը:
Մասին: DNS-ը հեռու է միակ արձանագրությունից, որը կարող է օգտագործվել թունելավորման համար: Օրինակ, հրամանի և հսկողության (C2) չարամիտ ծրագիրը հաճախ օգտագործում է HTTP՝ կապի ալիքը քողարկելու համար: Ինչպես DNS թունելավորման դեպքում, հաքերը թաքցնում է իր տվյալները, բայց այս դեպքում դա կարծես տրաֆիկ լինի սովորական վեբ բրաուզերից, որը մուտք է գործում հեռավոր կայք (վերահսկվում է հարձակվողի կողմից): Սա կարող է աննկատ մնալ մոնիտորինգի ծրագրերի կողմից, եթե դրանք կազմաձևված չեն ընկալելու համար սպառնալիք HTTP արձանագրության չարաշահում հաքերային նպատակներով:

Կցանկանա՞ք, որ մենք օգնենք DNS թունելի հայտնաբերման հարցում: Ստուգեք մեր մոդուլը Varonis Edge և փորձեք այն անվճար Demo!

Source: www.habr.com