DNS jarðgangagerð breytir lénsnafnakerfinu í vopn fyrir tölvuþrjóta. DNS er í rauninni risastór símaskrá internetsins. DNS er einnig undirliggjandi samskiptareglur sem gerir stjórnendum kleift að spyrjast fyrir um gagnagrunn DNS netþjónsins. Svo langt virðist allt vera ljóst. En slægir tölvuþrjótar áttuðu sig á því að þeir gætu átt í leynilegum samskiptum við fórnarlambstölvuna með því að sprauta stjórnskipunum og gögnum inn í DNS-samskiptareglur. Þessi hugmynd er grundvöllur DNS jarðganga.
Hvernig DNS göng virkar
Allt á internetinu hefur sína eigin aðskildu siðareglur. Og DNS stuðningur er tiltölulega einfaldur beiðni-svar gerð. Ef þú vilt sjá hvernig það virkar geturðu keyrt nslookup, aðal tólið til að gera DNS fyrirspurnir. Þú getur beðið um heimilisfang með því einfaldlega að tilgreina lénið sem þú hefur áhuga á, til dæmis:
Í okkar tilviki svaraði samskiptareglan með IP tölu lénsins. Hvað varðar DNS-samskiptareglur þá lagði ég fram heimilisfangsbeiðni eða svokallaða beiðni. "A" gerð. Það eru aðrar gerðir af beiðnum og DNS-samskiptareglur munu bregðast við með öðru setti af gagnareitum, sem tölvuþrjótar geta nýtt sér, eins og við munum sjá síðar.
Með einum eða öðrum hætti, í kjarna þess, snýst DNS samskiptareglan um að senda beiðni til netþjónsins og svar hennar til baka til viðskiptavinarins. Hvað ef árásarmaður bætir við földum skilaboðum í beiðni um lén? Til dæmis, í stað þess að slá inn fullkomlega lögmæta vefslóð, mun hann slá inn gögnin sem hann vill senda:
Segjum að árásarmaður stjórnar DNS þjóninum. Það getur síðan sent gögn - til dæmis persónuupplýsingar - án þess að það þurfi endilega að finnast. Þegar öllu er á botninn hvolft, hvers vegna yrði DNS fyrirspurn skyndilega eitthvað ólögmæt?
Með því að stjórna netþjóninum geta tölvuþrjótar falsað svör og sent gögn aftur til markkerfisins. Þetta gerir þeim kleift að senda skilaboð sem eru falin á ýmsum sviðum DNS-viðbragðsins við spilliforritinu á sýktu vélinni, með leiðbeiningum eins og að leita í tiltekinni möppu.
"Göngagerð" hluti þessarar árásar er gögn og skipanir frá uppgötvun með vöktunarkerfum. Tölvuþrjótar geta notað base32, base64, osfrv. stafasett, eða jafnvel dulkóðað gögnin. Slík kóðun mun fara framhjá óuppgötvuð af einföldum ógnarskynjunartækjum sem leita í textanum.
Og þetta er DNS göng!
Saga DNS jarðgangaárása
Allt á sér upphaf, þar á meðal hugmyndin um að ræna DNS-samskiptareglunum í reiðhestur tilgangi. Eftir því sem við getum sagt, fyrst Þessi árás var gerð af Oskar Pearson á Bugtraq póstlistanum í apríl 1998.
Árið 2004 var DNS jarðgangagerð kynnt á Black Hat sem reiðhestur tækni í kynningu Dan Kaminsky. Þannig óx hugmyndin mjög fljótt í alvöru árásartæki.
Í dag tekur DNS jarðgangagerð örugga stöðu á kortinu (og upplýsingaöryggisbloggarar eru oft beðnir um að útskýra það).
Hefur þú heyrt um ? Þetta er áframhaldandi herferð netglæpahópa - líklegast ríkisstyrktir - til að ræna lögmætum DNS netþjónum til að beina DNS beiðnir til þeirra eigin netþjóna. Þetta þýðir að stofnanir munu fá „slæmar“ IP tölur sem benda á falsaðar vefsíður sem reknar eru af tölvuþrjótum, eins og Google eða FedEx. Á sama tíma munu árásarmenn geta fengið notendareikninga og lykilorð, sem munu óafvitandi slá þau inn á slíkar fölsaðar síður. Þetta er ekki DNS göng, heldur bara önnur óheppileg afleiðing þess að tölvuþrjótar stjórna DNS netþjónum.
DNS göng hótanir
DNS-göng eru eins og vísbending um upphaf slæmu fréttastigsins. Hverjir? Við höfum þegar talað um nokkra, en við skulum skipuleggja þá:
- Gagnaúttak (úthreinsun) - tölvuþrjótur sendir leynilega mikilvæg gögn yfir DNS. Þetta er örugglega ekki skilvirkasta leiðin til að flytja upplýsingar úr tölvu fórnarlambsins - að teknu tilliti til alls kostnaðar og kóðun - en það virkar, og á sama tíma - leynilega!
- Stjórn og stjórn (skammstafað C2) - tölvuþrjótar nota DNS samskiptareglur til að senda einfaldar stjórnskipanir í gegnum, segjum, (Remote Access Trojan, skammstafað RAT).
- IP-yfir-DNS jarðgöng - Þetta gæti hljómað brjálæðislega, en það eru tól sem útfæra IP stafla ofan á DNS samskiptareglur beiðnir og svör. Það gerir gagnaflutning með FTP, Netcat, ssh osfrv. tiltölulega einfalt verkefni. Einstaklega ógnvekjandi!
Greinir DNS göng
Það eru tvær meginaðferðir til að greina DNS-misnotkun: álagsgreining og umferðargreining.
á álagsgreiningu Verjandi aðilinn leitar að frávikum í gögnunum sem send eru fram og til baka sem hægt er að greina með tölfræðilegum aðferðum: undarlegum hýsilheitum, tegund DNS skráningar sem er ekki notuð eins oft eða óstöðluð kóðun.
á umferðargreiningu Fjöldi DNS-beiðna á hvert lén er áætlaður miðað við tölfræðilegt meðaltal. Árásarmenn sem nota DNS göng munu búa til mikla umferð á netþjóninn. Í orði, verulega betri en venjuleg DNS skilaboðaskipti. Og þetta þarf að fylgjast með!
DNS göng tól
Ef þú vilt framkvæma þitt eigið próf og sjá hversu vel fyrirtæki þitt getur greint og brugðist við slíkri starfsemi, þá eru nokkur tæki fyrir þetta. Allir geta þeir gert göng í hamnum IP-yfir-DNS:
- - fáanlegt á mörgum kerfum (Linux, Mac OS, FreeBSD og Windows). Gerir þér kleift að setja upp SSH-skel á milli mark- og stjórntölva. Það er gott um að setja upp og nota joð.
- – DNS jarðgangaverkefni frá Dan Kaminsky, skrifað í Perl. Þú getur tengst því í gegnum SSH.
- - "DNS göng sem gera þig ekki veikan." Býr til dulkóðaða C2 rás til að senda/hala niður skrám, ræsa skeljar osfrv.
DNS eftirlitstæki
Hér að neðan er listi yfir nokkur tól sem munu vera gagnleg til að greina jarðgangaárásir:
- – Python eining skrifuð fyrir MercenaryHuntFramework og Mercenary-Linux. Les .pcap skrár, dregur út DNS fyrirspurnir og framkvæmir landfræðilega staðsetningarkortlagningu til að aðstoða við greiningu.
- – Python tól sem les .pcap skrár og greinir DNS skilaboð.
Ör Algengar spurningar um DNS jarðgangagerð
Gagnlegar upplýsingar í formi spurninga og svara!
Sp.: Hvað er jarðgangagerð?
UM: Það er einfaldlega leið til að flytja gögn yfir núverandi samskiptareglur. Undirliggjandi samskiptareglur veita sérstaka rás eða göng, sem síðan eru notuð til að fela upplýsingarnar sem raunverulega eru sendar.
Sp.: Hvenær var fyrsta DNS jarðgangaárásin gerð?
UM: Við vitum ekki! Ef þú veist það, vinsamlegast láttu okkur vita. Eftir því sem við best vitum var fyrstu umfjöllun um árásina frumkvæði að Oscar Piersan á Bugtraq póstlistanum í apríl 1998.
Sp.: Hvaða árásir eru svipaðar DNS-göngum?
UM: DNS er langt frá því að vera eina samskiptareglan sem hægt er að nota við jarðgangagerð. Til dæmis notar stjórn og eftirlit (C2) spilliforrit oft HTTP til að fela samskiptarásina. Eins og með DNS göng felur tölvuþrjóturinn gögnin sín, en í þessu tilfelli lítur það út fyrir að umferð frá venjulegum vafra fari inn á fjarlæga síðu (stýrt af árásarmanninum). Þetta gæti farið óséður af vöktunarforritum ef þau eru ekki stillt til að skynja misnotkun á HTTP samskiptareglum í tilgangi tölvuþrjóta.
Viltu að við hjálpum við að greina DNS göng? Skoðaðu eininguna okkar og prófaðu það ókeypis !
Heimild: www.habr.com