DNSトンネリングとは何ですか? 検出命令

DNS トンネリングは、ドメイン ネーム システムをハッカーの武器に変えます。 DNS は本質的にはインターネットの巨大な電話帳です。 DNS は、管理者が DNS サーバー データベースにクエリを実行できるようにする基盤となるプロトコルでもあります。これまでのところ、すべてが明らかになっています。しかし、狡猾なハッカーは、DNS プロトコルに制御コマンドとデータを注入することで、被害者のコンピュータと密かに通信できることに気づきました。この考え方は DNS トンネリングの基礎です。

DNSトンネリングの仕組み

インターネット上のすべてのものには、独自の個別のプロトコルがあります。 DNS サポートは比較的シンプルです プロトコル リクエストレスポンスタイプ。どのように動作するかを確認したい場合は、DNS クエリを作成するための主要なツールである nslookup を実行できます。興味のあるドメイン名を指定するだけでアドレスをリクエストできます。例:

この例では、プロトコルはドメイン IP アドレスで応答しました。 DNSプロトコルに関しては、アドレスリクエスト、いわゆるリクエストを行いました。 「A」タイプ。他の種類のリクエストもあり、DNS プロトコルは別のデータ フィールドのセットで応答しますが、後で説明するように、これはハッカーによって悪用される可能性があります。

いずれにせよ、DNS プロトコルの中核は、サーバーにリクエストを送信し、その応答をクライアントに返すことに関係しています。攻撃者がドメイン名リクエスト内に隠しメッセージを追加した場合はどうなるでしょうか?たとえば、完全に正規の URL を入力する代わりに、送信したいデータを次のように入力します。

攻撃者が DNS サーバーを制御しているとします。その後、必ずしも検出されることなく、個人データなどのデータを送信できます。結局のところ、なぜ DNS クエリが突然不正なものになってしまうのでしょうか?

サーバーを制御することで、ハッカーは応答を偽造し、ターゲット システムにデータを送り返すことができます。これにより、DNS 応答のさまざまなフィールドに隠されたメッセージを、特定のフォルダー内を検索するなどの指示とともに、感染したマシン上のマルウェアに渡すことができます。

この攻撃の「トンネリング」部分は次のとおりです。 隠蔽 監視システムによる検出からのデータとコマンド。ハッカーは、base32、base64 などの文字セットを使用したり、データを暗号化したりすることもできます。このようなエンコードは、平文を検索する単純な脅威検出ユーティリティでは検出されずに通過します。

そしてこれがDNSトンネリングです！

DNSトンネリング攻撃の歴史

ハッキング目的でDNSプロトコルをハイジャックするというアイデアを含め、すべてに始まりがあります。私たちが知る限り、最初の 話し合い この攻撃は、1998 年 XNUMX 月に Bugtraq メーリング リストの Oskar Pearson によって実行されました。

2004 年までに、DNS トンネリングは Dan Kaminsky 氏のプレゼンテーションでハッキング技術として Black Hat に導入されました。したがって、このアイデアはすぐに実際の攻撃ツールに成長しました。

現在、DNS トンネリングは地図上で確固たる地位を占めています。 潜在的な脅威 (情報セキュリティブロガーはよくそれについて説明を求められます)。

について聞いたことがありますか ウミガメ ?これは、DNS リクエストを自分たちのサーバーにリダイレクトするために正規の DNS サーバーをハイジャックする、サイバー犯罪グループ (おそらく国家の支援を受けている) による進行中のキャンペーンです。これは、Google や FedEx などのハッカーが実行する偽の Web ページを指す「不正な」IP アドレスを組織が受け取ることを意味します。同時に、攻撃者はユーザー アカウントとパスワードを入手し、知らずにそのような偽サイトに入力する可能性があります。これは DNS トンネリングではなく、ハッカーが DNS サーバーを制御したことによる不幸な結果にすぎません。

DNSトンネリングの脅威

DNS トンネリングは、悪いニュースの段階の始まりを示すようなものです。どれ？すでにいくつかについて説明しましたが、それらを構造化してみましょう。

• データ出力（流出） – ハッカーが重要なデータを DNS 経由で密かに送信します。すべてのコストとエンコーディングを考慮すると、これは被害者のコンピュータから情報を転送する最も効率的な方法ではありませんが、機能し、同時に秘密裏に動作します。
• コマンド アンド コントロール (略称 C2) – ハッカーは DNS プロトコルを使用して、たとえば、次のような単純な制御コマンドを送信します。 リモートアクセス型トロイの木馬 (リモート アクセス トロイの木馬、略称 RAT)。
• IP-over-DNS トンネリング - これはクレイジーに聞こえるかもしれませんが、DNS プロトコルの要求と応答の上に IP スタックを実装するユーティリティがあります。 FTP、Netcat、sshなどを使用してデータ転送を行います。比較的単純なタスク。非常に不気味です！

DNSトンネリングの検出

DNS の悪用を検出するには、負荷分析とトラフィック分析という 2 つの主な方法があります。

に 負荷分析 防御側は、送受信されるデータ内の異常を探します。これらは、統計的手法によって検出できるものです。たとえば、奇妙な外観のホスト名、あまり使用されない DNS レコード タイプ、標準以外のエンコーディングなどです。

に トラフィック分析 各ドメインへの DNS リクエストの数は、統計的平均と比較して推定されます。 DNS トンネリングを使用する攻撃者は、サーバーへの大量のトラフィックを生成します。理論的には、通常の DNS メッセージ交換よりも大幅に優れています。そして、これは監視する必要があります。

DNSトンネリングユーティリティ

独自の侵入テストを実施して、会社がそのようなアクティビティをどの程度検出して対応できるかを確認したい場合は、そのためのユーティリティがいくつかあります。それらはすべてモードでトンネルできます IP-over-DNS:

• ヨウ素 – 多くのプラットフォーム (Linux、Mac OS、FreeBSD、Windows) で利用可能。ターゲット コンピューターとコントロール コンピューターの間に SSH シェルをインストールできます。それはいいことだよ ガイド Iodine のセットアップと使用について。
• オジマンDNS – Dan Kaminsky による、Perl で書かれた DNS トンネリング プロジェクト。 SSH経由で接続できます。
• DNSCat2 - 「病気にならないDNSトンネル」ファイルの送信/ダウンロード、シェルの起動などのための暗号化された C2 チャネルを作成します。

DNS監視ユーティリティ

以下は、トンネリング攻撃の検出に役立ついくつかのユーティリティのリストです。

• dnsハンター – MercenaryHuntFramework および Mercenary-Linux 用に作成された Python モジュール。 .pcap ファイルを読み取り、DNS クエリを抽出し、分析を支援するために地理位置情報マッピングを実行します。
• reassemble_dns – .pcap ファイルを読み取り、DNS メッセージを分析する Python ユーティリティ。

DNSトンネリングに関するマイクロFAQ

役立つ情報をQ＆A形式でお届けします！

Q: トンネリングとは何ですか?
について： これは、既存のプロトコルを介してデータを転送する単なる方法です。基礎となるプロトコルは専用のチャネルまたはトンネルを提供し、実際に送信される情報を隠すために使用されます。

Q: 最初の DNS トンネリング攻撃はいつ実行されましたか?
について： 我々は知りません！ご存知の場合はお知らせください。私たちの知る限り、この攻撃に関する最初の議論は 1998 年 XNUMX 月に Bugtraq メーリング リストで Oscar Piersan によって開始されました。

Q: DNS トンネリングに似た攻撃にはどのようなものがありますか?
について： DNS はトンネリングに使用できる唯一のプロトコルではありません。たとえば、コマンド アンド コントロール (C2) マルウェアは、HTTP を使用して通信チャネルをマスクすることがよくあります。 DNS トンネリングと同様に、ハッカーは自分のデータを隠しますが、この場合、リモート サイト (攻撃者が制御する) にアクセスする通常の Web ブラウザからのトラフィックのように見えます。監視プログラムが認識するように構成されていない場合、これは監視プログラムによって気付かれない可能性があります。 脅威 ハッカー目的での HTTP プロトコルの悪用。

DNS トンネルの検出を手伝ってもらえませんか?私たちのモジュールをチェックしてください ヴァロニス・エッジ 無料でお試しください デモ!

出所： habr.com