DNS туннельдеу домендік атаулар жүйесін хакерлердің қаруына айналдырады. DNS - бұл Интернеттің үлкен телефон кітапшасы. DNS сонымен қатар әкімшілерге DNS серверінің дерекқорын сұрауға мүмкіндік беретін негізгі протокол болып табылады. Әзірге бәрі түсінікті сияқты. Бірақ айлакер хакерлер DNS протоколына басқару командалары мен деректерді енгізу арқылы жәбірленуші компьютермен жасырын байланыса алатынын түсінді. Бұл идея DNS туннельдеудің негізі болып табылады.
DNS туннельдеу әдісі
Интернеттегі барлық нәрсенің жеке протоколы бар. Және DNS қолдауы салыстырмалы түрде қарапайым сұрау-жауап түрі. Оның қалай жұмыс істейтінін көргіңіз келсе, DNS сұрауларын жасауға арналған негізгі құрал болып табылатын nslookup бағдарламасын іске қосуға болады. Сіз жай ғана сізді қызықтыратын домен атауын көрсету арқылы мекенжайды сұрай аласыз, мысалы:
Біздің жағдайда протокол доменнің IP мекенжайымен жауап берді. DNS протоколына келетін болсақ, мен мекенжай сұрауын немесе сұрау деп аталатын сұрауды жасадым. «А» түрі. Сұраныстардың басқа түрлері бар және DNS протоколы кейінірек көретініміздей, хакерлер пайдалана алатын деректер өрістерінің басқа жиынтығымен жауап береді.
Қалай болғанда да, DNS протоколы серверге сұрауды жіберуге және клиентке қайтаруға жауап береді. Егер шабуылдаушы домендік атау сұрауына жасырын хабарлама қосса ше? Мысалы, толығымен заңды URL мекенжайын енгізудің орнына ол жібергісі келетін деректерді енгізеді:
Шабуылдаушы DNS серверін басқарады делік. Содан кейін ол деректерді (мысалы, жеке деректерді) міндетті түрде анықталмай жібере алады. Неліктен DNS сұрауы кенеттен заңсыз нәрсеге айналады?
Серверді басқару арқылы хакерлер жауаптарды қолданып, деректерді мақсатты жүйеге жібере алады. Бұл оларға вирус жұққан құрылғыдағы зиянды бағдарламаға DNS жауабының әртүрлі өрістерінде жасырылған хабарларды нақты қалта ішінде іздеу сияқты нұсқаулармен жіберуге мүмкіндік береді.
Бұл шабуылдың «туннельдеу» бөлігі бақылау жүйелері арқылы анықтаудан алынған деректер мен командалар. Хакерлер base32, base64, т.б. таңбалар жиынын пайдалана алады, тіпті деректерді шифрлай алады. Мұндай кодтау ашық мәтінді іздейтін қарапайым қауіптерді анықтау утилиталары арқылы анықталмай өтеді.
Және бұл DNS туннельдеу!
DNS туннельдік шабуылдарының тарихы
Барлығының бастауы бар, соның ішінде бұзу мақсатында DNS протоколын ұрлау идеясы. Біздің білуімізше, бірінші Бұл шабуылды Оскар Пирсон 1998 жылдың сәуірінде Bugtraq пошталық тізімінде жасады.
2004 жылға қарай DNS туннельдеу Black Hat-те Дэн Каминскийдің презентациясында хакерлік әдіс ретінде енгізілді. Осылайша, идея тез арада нағыз шабуыл құралына айналды.
Бүгінгі таңда DNS туннельдеу картада сенімді орын алады (және ақпараттық қауіпсіздік блогерлерінен жиі оны түсіндіруді сұрайды).
туралы естідіңіз бе ? Бұл DNS сұрауларын өз серверлеріне қайта бағыттау үшін заңды DNS серверлерін ұрлау үшін киберқылмыстық топтардың (ең алдымен мемлекет демеушілігімен) жалғасып жатқан науқаны. Бұл ұйымдар Google немесе FedEx сияқты хакерлер басқаратын жалған веб-беттерді көрсететін «жаман» IP мекенжайларын алатынын білдіреді. Сонымен қатар, шабуылдаушылар пайдаланушы тіркелгілері мен құпия сөздерді ала алады, олар мұндай жалған сайттарға оларды білмей кіреді. Бұл DNS туннельдері емес, DNS серверлерін басқаратын хакерлердің тағы бір өкінішті салдары.
DNS туннельдік қауіптері
DNS туннельдеу нашар жаңалықтар кезеңінің басталуының көрсеткіші сияқты. Қайсысы? Біз бірнешеу туралы айттық, бірақ олардың құрылымын қарастырайық:
- Мәліметтерді шығару (эксфильтрация) – хакер құпия деректерді DNS арқылы жібереді. Бұл, әрине, жәбірленуші компьютерден ақпаратты тасымалдаудың ең тиімді әдісі емес - барлық шығындар мен кодтауларды ескере отырып - бірақ ол жұмыс істейді және сонымен бірге - жасырын!
- Команда және басқару (қысқартылған C2) – хакерлер қарапайым басқару пәрмендерін жіберу үшін DNS протоколын пайдаланады, мысалы: (Remote Access Trojan, RAT қысқартылған).
- IP-over-DNS туннельдері - Бұл ақылсыз болып көрінуі мүмкін, бірақ DNS протоколының сұраулары мен жауаптарының үстіне IP стегін енгізетін утилиталар бар. Ол FTP, Netcat, ssh және т.б. көмегімен деректерді тасымалдауды жүзеге асырады. салыстырмалы қарапайым тапсырма. Өте қорқынышты!
DNS туннельдерін анықтау
DNS теріс пайдалануды анықтаудың екі негізгі әдісі бар: жүктемені талдау және трафикті талдау.
жанында жүктемені талдау Қорғаушы тарап статистикалық әдістермен анықтауға болатын деректерде аномалияларды іздейді: біртүрлі көрінетін хост атаулары, жиі пайдаланылмайтын DNS жазба түрі немесе стандартты емес кодтау.
жанында трафикті талдау Әрбір доменге DNS сұрауларының саны орташа статистикалық мәнмен салыстырғанда бағаланады. DNS туннелін пайдаланатын шабуылдаушылар серверге трафиктің үлкен көлемін жасайды. Теориялық тұрғыдан қалыпты DNS хабарлама алмасуынан айтарлықтай жоғары. Және бұл бақылау керек!
DNS туннельдік утилиталары
Егер сіз өзіңіздің пентестіңізді өткізгіңіз келсе және сіздің компанияңыздың мұндай әрекетті қаншалықты жақсы анықтап, оған жауап бере алатынын көргіңіз келсе, бұл үшін бірнеше утилиталар бар. Олардың барлығы режимде туннель жасай алады IP-over-DNS:
- – көптеген платформаларда (Linux, Mac OS, FreeBSD және Windows) қол жетімді. Мақсатты және басқару компьютерлері арасында SSH қабықшасын орнатуға мүмкіндік береді. Бұл жақсы Йодты орнату және пайдалану туралы.
- – Perl тілінде жазылған Дэн Каминскийдің DNS туннельдік жобасы. Сіз оған SSH арқылы қосыла аласыз.
- - «Сізді ауыртпайтын DNS туннелі». Файлдарды жіберу/жүктеп алу, қабықшаларды іске қосу және т.б. үшін шифрланған C2 арнасын жасайды.
DNS бақылау утилиталары
Төменде туннельдік шабуылдарды анықтау үшін пайдалы болатын бірнеше утилиталардың тізімі берілген:
- – MercenaryHuntFramework және Mercenary-Linux үшін жазылған Python модулі. .pcap файлдарын оқиды, DNS сұрауларын шығарады және талдауға көмектесу үшін геолокацияны салыстыруды орындайды.
- – .pcap файлдарын оқитын және DNS хабарламаларын талдайтын Python утилитасы.
DNS туннельдеріне қатысты микро жиі қойылатын сұрақтар
Сұрақ-жауап түріндегі пайдалы ақпарат!
С: Туннельдеу дегеніміз не?
Өзіңіз туралы: Бұл бар протокол арқылы деректерді тасымалдаудың қарапайым тәсілі. Негізгі протокол арнайы арнаны немесе туннельді қамтамасыз етеді, содан кейін ол нақты жіберілетін ақпаратты жасыру үшін пайдаланылады.
С: Бірінші DNS туннельдік шабуылы қашан жасалды?
Өзіңіз туралы: Біз білмейміз! Білетіндеріңіз болса хабарлаңыздар. Біздің білуімізше, шабуыл туралы бірінші талқылауды 1998 жылдың сәуірінде Bugtraq пошталық тізімінде Оскар Пирсан бастаған.
Сұрақ: DNS туннельдеуіне қандай шабуылдар ұқсас?
Өзіңіз туралы: DNS туннельдеуге болатын жалғыз протоколдан алыс. Мысалы, командалық және басқару (C2) зиянды бағдарламасы байланыс арнасын бүркемелеу үшін HTTP протоколын жиі пайдаланады. DNS туннельдеуіндегі сияқты, хакер өз деректерін жасырады, бірақ бұл жағдайда қашықтағы сайтқа кіретін қарапайым веб-шолғыштан келетін трафик сияқты көрінеді (шабуылдаушы басқарады). Бұл бақылау бағдарламалары қабылдауға конфигурацияланбаған болса, оларды байқамауы мүмкін хакерлік мақсаттар үшін HTTP протоколын теріс пайдалану.
DNS туннельдерін анықтауға көмектескенімізді қалайсыз ба? Біздің модульді қараңыз және оны тегін көріңіз !
Ақпарат көзі: www.habr.com