Il tunneling DNS trasforma il sistema dei nomi di dominio in un'arma per gli hacker. Il DNS è essenzialmente l'enorme rubrica telefonica di Internet. DNS è anche il protocollo sottostante che consente agli amministratori di interrogare il database del server DNS. Fin qui sembra tutto chiaro. Ma gli astuti hacker si sono resi conto che potevano comunicare segretamente con il computer della vittima inserendo comandi di controllo e dati nel protocollo DNS. Questa idea è alla base del tunneling DNS.
Come funziona il tunneling DNS
Tutto su Internet ha il proprio protocollo separato. E il supporto DNS è relativamente semplice tipo di richiesta-risposta. Se vuoi vedere come funziona, puoi eseguire nslookup, lo strumento principale per effettuare query DNS. Puoi richiedere un indirizzo semplicemente specificando il nome di dominio che ti interessa, ad esempio:
Nel nostro caso il protocollo ha risposto con l'indirizzo IP del dominio. Per quanto riguarda il protocollo DNS ho effettuato una richiesta di indirizzo o una cosiddetta richiesta. "Un tipo. Esistono altri tipi di richieste e il protocollo DNS risponderà con un diverso insieme di campi dati che, come vedremo in seguito, potranno essere sfruttati dagli hacker.
In un modo o nell'altro, nella sua essenza, il protocollo DNS si occupa di trasmettere una richiesta al server e la sua risposta al client. Cosa succede se un utente malintenzionato aggiunge un messaggio nascosto all'interno di una richiesta di nome di dominio? Ad esempio, invece di inserire un URL del tutto legittimo, inserirà i dati che desidera trasmettere:
Supponiamo che un utente malintenzionato controlli il server DNS. Può quindi trasmettere dati, ad esempio dati personali, senza essere necessariamente rilevato. Dopotutto, perché una query DNS dovrebbe improvvisamente diventare qualcosa di illegittimo?
Controllando il server, gli hacker possono falsificare risposte e inviare dati al sistema di destinazione. Ciò consente loro di passare messaggi nascosti in vari campi della risposta DNS al malware sulla macchina infetta, con istruzioni come la ricerca all'interno di una cartella specifica.
La parte "tunneling" di questo attacco lo è dati e comandi provenienti dal rilevamento da parte dei sistemi di monitoraggio. Gli hacker possono utilizzare set di caratteri base32, base64, ecc. o persino crittografare i dati. Tale codifica non verrà rilevata dalle semplici utilità di rilevamento delle minacce che cercano nel testo in chiaro.
E questo è il tunneling DNS!
Storia degli attacchi di tunneling DNS
Tutto ha un inizio, compresa l’idea di dirottare il protocollo DNS a scopo di hacking. Per quanto ne sappiamo, il primo Questo attacco è stato effettuato da Oskar Pearson sulla mailing list Bugtraq nell'aprile 1998.
Nel 2004, il tunneling DNS è stato introdotto alla Black Hat come tecnica di hacking in una presentazione di Dan Kaminsky. Pertanto, l’idea si è trasformata molto rapidamente in un vero e proprio strumento di attacco.
Oggi il tunneling DNS occupa una posizione sicura sulla mappa (e ai blogger sulla sicurezza informatica viene spesso chiesto di spiegarlo).
Ne hai sentito parlare ? Si tratta di una campagna in corso da parte di gruppi di criminali informatici, molto probabilmente sponsorizzata dallo stato, per dirottare server DNS legittimi al fine di reindirizzare le richieste DNS ai propri server. Ciò significa che le organizzazioni riceveranno indirizzi IP "cattivi" che puntano a pagine Web false gestite da hacker, come Google o FedEx. Allo stesso tempo, gli aggressori saranno in grado di ottenere account utente e password, che li inseriranno inconsapevolmente su tali siti falsi. Non si tratta di tunneling DNS, ma solo di un’altra sfortunata conseguenza del controllo dei server DNS da parte degli hacker.
Minacce legate al tunneling DNS
Il tunneling DNS è come un indicatore dell’inizio della fase delle cattive notizie. Quale? Ne abbiamo già parlato diversi, ma struttureamoli:
- Output dati (estrazione) – un hacker trasmette segretamente dati critici tramite DNS. Questo non è sicuramente il modo più efficiente per trasferire informazioni dal computer della vittima, tenendo conto di tutti i costi e le codifiche, ma funziona e, allo stesso tempo, in segreto!
- Comando e controllo (abbreviato C2) – gli hacker utilizzano il protocollo DNS per inviare semplici comandi di controllo, ad esempio, (Trojan di accesso remoto, abbreviato RAT).
- Tunneling IP su DNS - Potrebbe sembrare assurdo, ma esistono utilità che implementano uno stack IP sopra le richieste e le risposte del protocollo DNS. Effettua il trasferimento dei dati utilizzando FTP, Netcat, ssh, ecc. un compito relativamente semplice. Estremamente inquietante!
Rilevamento del tunneling DNS
Esistono due metodi principali per rilevare l'abuso del DNS: analisi del carico e analisi del traffico.
A analisi del carico La parte convenuta cerca anomalie nei dati inviati avanti e indietro che possono essere rilevate con metodi statistici: nomi host dall'aspetto strano, un tipo di record DNS che non viene utilizzato così spesso o una codifica non standard.
A analisi del traffico Il numero di richieste DNS per ciascun dominio è stimato rispetto alla media statistica. Gli aggressori che utilizzano il tunneling DNS genereranno una grande quantità di traffico sul server. In teoria, significativamente superiore al normale scambio di messaggi DNS. E questo va monitorato!
Utilità di tunneling DNS
Se desideri condurre il tuo pentest e vedere quanto bene la tua azienda riesce a rilevare e rispondere a tale attività, esistono diverse utilità a questo scopo. Tutti possono eseguire il tunneling in questa modalità IP su DNS:
- – disponibile su molte piattaforme (Linux, Mac OS, FreeBSD e Windows). Consente di installare una shell SSH tra i computer di destinazione e di controllo. Bella questa sull'impostazione e l'utilizzo di Iodio.
- – Progetto di tunneling DNS di Dan Kaminsky, scritto in Perl. Puoi connetterti ad esso tramite SSH.
- - "Tunnel DNS che non ti fa ammalare." Crea un canale C2 crittografato per inviare/scaricare file, avviare shell, ecc.
Utilità di monitoraggio DNS
Di seguito è riportato un elenco di diverse utilità che saranno utili per rilevare gli attacchi di tunneling:
- – Modulo Python scritto per MercenaryHuntFramework e Mercenary-Linux. Legge file .pcap, estrae query DNS ed esegue la mappatura di geolocalizzazione per facilitare l'analisi.
- – un'utilità Python che legge i file .pcap e analizza i messaggi DNS.
Micro FAQ sul tunneling DNS
Informazioni utili sotto forma di domande e risposte!
D: Cos'è il tunneling?
DI: È semplicemente un modo per trasferire dati su un protocollo esistente. Il protocollo sottostante fornisce un canale o tunnel dedicato, che viene poi utilizzato per nascondere le informazioni effettivamente trasmesse.
D: Quando è stato effettuato il primo attacco di tunneling DNS?
DI: Noi non sappiamo! Se lo sapete, fatecelo sapere. Per quanto ne sappiamo, la prima discussione sull'attacco fu avviata da Oscar Piersan nella mailing list Bugtraq nell'aprile 1998.
D: Quali attacchi sono simili al tunneling DNS?
DI: Il DNS non è l'unico protocollo che può essere utilizzato per il tunneling. Ad esempio, il malware di comando e controllo (C2) utilizza spesso HTTP per mascherare il canale di comunicazione. Come nel tunneling DNS, l'hacker nasconde i suoi dati, ma in questo caso sembrano traffico proveniente da un normale browser Web che accede a un sito remoto (controllato dall'aggressore). Ciò potrebbe passare inosservato ai programmi di monitoraggio se non sono configurati per percepirlo abuso del protocollo HTTP per scopi hacker.
Desideri che ti aiutiamo con il rilevamento del tunnel DNS? Dai un'occhiata al nostro modulo e provalo gratuitamente !
Fonte: habr.com