DNS tunneling ngowahi sistem jeneng domain dadi senjata kanggo peretas. DNS ateges buku telpon gedhe ing Internet. DNS uga minangka protokol dhasar sing ngidini administrator takon database server DNS. Nganti saiki kabeh katon jelas. Nanging peretas licik nyadari yen dheweke bisa komunikasi kanthi rahasia karo komputer korban kanthi nyuntikake perintah kontrol lan data menyang protokol DNS. Ide iki minangka basis tunneling DNS.
Cara kerja DNS tunneling
Kabeh ing Internet duwe protokol dhewe dhewe. Lan dhukungan DNS relatif prasaja jinis request-respon. Yen sampeyan pengin ndeleng cara kerjane, sampeyan bisa mbukak nslookup, alat utama kanggo nggawe pitakon DNS. Sampeyan bisa njaluk alamat kanthi mung nemtokake jeneng domain sing sampeyan minati, contone:
Ing kasus kita, protokol nanggapi karo alamat IP domain. Ing babagan protokol DNS, aku nggawe panjaluk alamat utawa panjaluk sing diarani. Tipe "A". Ana jinis panjaluk liyane, lan protokol DNS bakal nanggapi karo macem-macem lapangan data, sing, kaya sing bakal kita deleng mengko, bisa dimanfaatake dening peretas.
Siji cara utawa liyane, ing inti, protokol DNS prihatin karo ngirim panjalukan menyang server lan tanggapane bali menyang klien. Apa yen panyerang nambah pesen sing didhelikake ing panjalukan jeneng domain? Contone, tinimbang ngetik URL sing sah, dheweke bakal ngetik data sing arep dikirim:
Sebutake penyerang ngontrol server DNS. Banjur bisa ngirim data-data pribadhi, contone-tanpa kudu dideteksi. Sawise kabeh, kenapa pitakon DNS dumadakan dadi ora sah?
Kanthi ngontrol server, peretas bisa nggawe tanggapan lan ngirim data bali menyang sistem target. Iki ngidini wong-wong mau ngirim pesen sing didhelikake ing macem-macem lapangan respon DNS marang malware ing mesin sing kena infeksi, kanthi instruksi kayata nggoleki ing folder tartamtu.
Bagian "tunneling" saka serangan iki yaiku data lan printah saka deteksi dening sistem ngawasi. Peretas bisa nggunakake set karakter base32, base64, lan liya-liyane, utawa malah ngenkripsi data kasebut. Enkoding kasebut bakal ora dideteksi dening utilitas deteksi ancaman sing prasaja sing nggoleki plaintext.
Lan iki DNS tunneling!
Sejarah serangan tunneling DNS
Kabeh duwe wiwitan, kalebu ide mbajak protokol DNS kanggo tujuan peretasan. Minangka adoh kita bisa ngomong, pisanan Serangan iki ditindakake dening Oskar Pearson ing mailing list Bugtraq ing April 1998.
Ing taun 2004, DNS tunneling dienal ing Black Hat minangka teknik hacking ing presentasi dening Dan Kaminsky. Mangkono, ide kasebut cepet banget dadi alat serangan nyata.
Saiki, tunneling DNS nduwe posisi sing yakin ing peta (lan blogger keamanan informasi asring dijaluk nerangake).
Apa sampeyan krungu bab ? Это действующая кампания киберпреступных группировок — скорее всего, спонсируемая государством, — направленная на захват легитимных DNS-серверов с целью перенаправления DNS-запросов на собственные сервера. Это означает, что организации будут получать «плохие» IP-адреса, указывающие на поддельные веб-страницы под управлением хакеров, — например, Google или FedEx. При этом злоумышленники смогут заполучить учётные записи и пароли пользователей, которые те неосознанно введут их на таких поддельных сайтах. Это не DNS-туннелирование, но просто ещё одно скверное последствие контроля DNS-серверов хакерами.
Ancaman tunneling DNS
Tunneling DNS kaya indikator wiwitan tahap warta sing ala. Sing endi? Kita wis ngomong babagan sawetara, nanging ayo nggawe struktur:
- Output data (eksfiltrasi) - peretas kanthi rahasia ngirim data kritis liwat DNS. Iki mesthi ora cara paling efisien kanggo nransfer informasi saka komputer korban - njupuk menyang akun kabeh biaya lan encodings - nanging bisa, lan ing wektu sing padha - meneng-menengan!
- Komando lan Kontrol (disingkat C2) - peretas nggunakake protokol DNS kanggo ngirim perintah kontrol sing gampang liwat, ucapake, (Remote Access Trojan, disingkat RAT).
- Tunneling IP-Over-DNS - Iki bisa uga muni gila, nanging ana utilitas sing ngetrapake tumpukan IP ing ndhuwur panjalukan lan tanggapan protokol DNS. Iku ndadekake transfer data nggunakake FTP, Netcat, ssh, etc. tugas relatif prasaja. Apik banget!
Ndeteksi tunneling DNS
Ana rong cara utama kanggo ndeteksi penyalahgunaan DNS: analisis muatan lan analisis lalu lintas.
ing analisis beban Pihak sing mbela nggoleki anomali ing data sing dikirim bolak-balik sing bisa dideteksi kanthi cara statistik: jeneng host sing katon aneh, jinis rekaman DNS sing ora kerep digunakake, utawa enkoding non-standar.
ing analisis lalu lintas Jumlah panjalukan DNS kanggo saben domain dikira-kira dibandhingake karo rata-rata statistik. Penyerang sing nggunakake tunneling DNS bakal ngasilake lalu lintas sing akeh menyang server. Ing teori, luwih unggul tinimbang ijol-ijolan pesen DNS normal. Lan iki kudu dipantau!
Utilitas tunneling DNS
Yen sampeyan pengin nindakake pentest dhewe lan ndeleng kepiye perusahaan sampeyan bisa ndeteksi lan nanggapi kegiatan kasebut, ana sawetara keperluan kanggo iki. Kabeh mau bisa trowongan ing mode IP-Over-DNS:
- - kasedhiya ing akeh platform (Linux, Mac OS, FreeBSD lan Windows). Ngidini sampeyan nginstal cangkang SSH ing antarane target lan komputer kontrol. Sing apik babagan nyetel lan nggunakake yodium.
- - Proyek tunneling DNS saka Dan Kaminsky, ditulis ing Perl. Sampeyan bisa nyambung liwat SSH.
- - "Trowongan DNS sing ora nggawe sampeyan lara." Nggawe saluran C2 sing dienkripsi kanggo ngirim / ngundhuh file, ngluncurake cangkang, lsp.
Utilitas ngawasi DNS
Ing ngisor iki dhaptar sawetara utilitas sing bakal migunani kanggo ndeteksi serangan tunneling:
- – Modul Python ditulis kanggo MercenaryHuntFramework lan Mercenary-Linux. Maca file .pcap, ngekstrak pitakon DNS lan nindakake pemetaan geolokasi kanggo mbantu analisis.
- – sarana Python sing maca file .pcap lan nganalisa pesen DNS.
FAQ mikro babagan tunneling DNS
Informasi migunani ing wangun pitakonan lan jawaban!
P: Apa tunneling?
Babagan: Iku mung cara kanggo nransfer data liwat protokol sing wis ana. Protokol dhasar nyedhiyakake saluran utawa trowongan khusus, sing banjur digunakake kanggo ndhelikake informasi sing bener-bener dikirim.
P: Kapan serangan tunneling DNS pisanan ditindakake?
Babagan: Kita ora ngerti! Yen sampeyan ngerti, kabari aku. Kanggo kawruh sing paling apik, diskusi pisanan babagan serangan kasebut diwiwiti dening Oscar Piersan ing mailing list Bugtraq ing April 1998.
P: Serangan apa sing padha karo tunneling DNS?
Babagan: DNS adoh saka mung protokol sing bisa digunakake kanggo tunneling. Contone, malware command and control (C2) asring nggunakake HTTP kanggo nutupi saluran komunikasi. Kaya tunneling DNS, peretas ndhelikake data, nanging ing kasus iki katon kaya lalu lintas saka browser web biasa sing ngakses situs remot (dikontrol dening penyerang). Iki bisa uga ora dingerteni kanthi ngawasi program yen ora dikonfigurasi kanggo ngerteni penyalahgunaan protokol HTTP kanggo tujuan hacker.
Apa sampeyan pengin kita mbantu deteksi terowongan DNS? Priksa modul kita lan nyoba gratis !
Source: www.habr.com