DNS 터널링이란 무엇입니까? 감지 지침

DNS 터널링은 도메인 이름 시스템을 해커의 무기로 바꿔줍니다. DNS는 본질적으로 인터넷의 거대한 전화번호부입니다. DNS는 또한 관리자가 DNS 서버 데이터베이스에 쿼리할 수 있도록 하는 기본 프로토콜이기도 합니다. 지금까지는 모든 것이 분명해 보입니다. 그러나 교활한 해커들은 DNS 프로토콜에 제어 명령과 데이터를 주입함으로써 피해자 컴퓨터와 비밀리에 통신할 수 있다는 것을 깨달았습니다. 이 아이디어는 DNS 터널링의 기초입니다.

DNS 터널링 작동 방식

인터넷의 모든 것에는 고유한 별도의 프로토콜이 있습니다. DNS 지원은 비교적 간단합니다. 프로토콜 요청-응답 유형. 작동 방식을 보려면 DNS 쿼리를 작성하는 주요 도구인 nslookup을 실행하면 됩니다. 관심 있는 도메인 이름을 지정하여 주소를 요청할 수 있습니다. 예를 들면 다음과 같습니다.

우리의 경우 프로토콜은 도메인 IP 주소로 응답했습니다. DNS 프로토콜 측면에서 주소 요청 또는 소위 요청을 했습니다. "유형. 다른 유형의 요청이 있으며 DNS 프로토콜은 다른 데이터 필드 세트로 응답합니다. 나중에 살펴보겠지만 이 필드는 해커가 악용할 수 있습니다.

어떤 식으로든 핵심적으로 DNS 프로토콜은 서버에 요청을 전송하고 그 응답을 클라이언트에 다시 전송하는 것과 관련이 있습니다. 공격자가 도메인 이름 요청 내에 숨겨진 메시지를 추가하면 어떻게 되나요? 예를 들어, 완전히 합법적인 URL을 입력하는 대신 전송하려는 데이터를 입력합니다.

공격자가 DNS 서버를 제어한다고 가정해 보겠습니다. 그런 다음 반드시 감지되지 않고도 데이터(예: 개인 데이터)를 전송할 수 있습니다. 결국 DNS 쿼리가 갑자기 불법적인 것이 되는 이유는 무엇입니까?

해커는 서버를 제어함으로써 응답을 위조하고 데이터를 대상 시스템으로 다시 보낼 수 있습니다. 이를 통해 특정 폴더 내부 검색과 같은 지침을 사용하여 감염된 시스템의 맬웨어에 대한 DNS 응답의 다양한 필드에 숨겨진 메시지를 전달할 수 있습니다.

이 공격의 "터널링" 부분은 다음과 같습니다. 은폐 모니터링 시스템에 의한 탐지 데이터 및 명령. 해커는 base32, base64 등의 문자 집합을 사용하거나 데이터를 암호화할 수도 있습니다. 이러한 인코딩은 일반 텍스트를 검색하는 간단한 위협 탐지 유틸리티에 의해 감지되지 않고 통과됩니다.

이것이 바로 DNS 터널링입니다!

DNS 터널링 공격의 역사

해킹 목적으로 DNS 프로토콜을 하이재킹하려는 아이디어를 포함하여 모든 것에는 시작이 있습니다. 우리가 알 수 있는 한, 첫 번째 обсуждение 이 공격은 1998년 XNUMX월 Bugtraq 메일링 리스트에서 Oskar Pearson에 의해 수행되었습니다.

2004년에는 Dan Kaminsky의 프레젠테이션을 통해 Black Hat에서 해킹 기술로 DNS 터널링이 소개되었습니다. 따라서 이 아이디어는 매우 빠르게 실제 공격 도구로 발전했습니다.

오늘날 DNS 터널링은 지도에서 확실한 위치를 차지하고 있습니다. 잠재적인 위협 (그리고 정보 보안 블로거들은 종종 이에 대한 설명을 요청받습니다).

에 대해 들어보셨나요? 바다 거북 ? 이는 DNS 요청을 자체 서버로 리디렉션하기 위해 합법적인 DNS 서버를 하이재킹하려는 사이버 범죄 그룹(대개 국가의 후원을 받음)이 진행 중인 캠페인입니다. 이는 조직이 Google이나 FedEx와 같은 해커가 운영하는 가짜 웹 페이지를 가리키는 "불량" IP 주소를 받게 된다는 것을 의미합니다. 동시에 공격자는 사용자 계정과 비밀번호를 얻을 수 있으며, 사용자는 자신도 모르게 이러한 가짜 사이트에 이를 입력하게 됩니다. 이는 DNS 터널링이 아니라 해커가 DNS 서버를 제어함으로써 발생하는 또 다른 불행한 결과입니다.

DNS 터널링 위협

DNS 터널링은 나쁜 소식 단계의 시작을 알리는 지표와 같습니다. 어느 것? 우리는 이미 몇 가지에 대해 이야기했지만 이를 구조화해 보겠습니다.

• 데이터 출력(탈출) – 해커가 DNS를 통해 중요한 데이터를 비밀리에 전송합니다. 이것은 모든 비용과 인코딩을 고려하여 피해자 컴퓨터에서 정보를 전송하는 가장 효율적인 방법은 아니지만 비밀리에 작동하는 동시에 작동합니다!
• 명령 및 통제(약칭: C2) – 해커는 DNS 프로토콜을 사용하여 간단한 제어 명령을 보냅니다. 원격 액세스 트로이목마 (원격 액세스 트로이목마, 약어로 RAT).
• IP-Over-DNS 터널링 - 이상하게 들릴 수도 있지만 DNS 프로토콜 요청 및 응답 위에 IP 스택을 구현하는 유틸리티가 있습니다. FTP, Netcat, SSH 등을 사용하여 데이터를 전송합니다. 비교적 간단한 작업입니다. 매우 불길한!

DNS 터널링 감지

DNS 남용을 탐지하는 두 가지 주요 방법은 로드 분석과 트래픽 분석입니다.

에 부하 분석 방어측은 통계적 방법으로 감지할 수 있는 주고받은 데이터에서 이상하게 보이는 호스트 이름, 자주 사용되지 않는 DNS 레코드 유형 또는 비표준 인코딩 등 이상 현상을 찾습니다.

에 트래픽 분석 각 도메인에 대한 DNS 요청 수는 통계 평균과 비교하여 추정됩니다. DNS 터널링을 사용하는 공격자는 서버에 많은 양의 트래픽을 생성합니다. 이론적으로 일반 DNS 메시지 교환보다 훨씬 뛰어납니다. 그리고 이것은 모니터링이 필요합니다!

DNS 터널링 유틸리티

자체 침투 테스트를 수행하고 회사가 그러한 활동을 얼마나 잘 감지하고 대응할 수 있는지 확인하려면 이를 위한 몇 가지 유틸리티가 있습니다. 모드에서는 모두 터널링이 가능합니다. IP-Over-DNS:

• 요오드 – 다양한 플랫폼(Linux, Mac OS, FreeBSD 및 Windows)에서 사용할 수 있습니다. 대상 컴퓨터와 제어 컴퓨터 사이에 SSH 셸을 설치할 수 있습니다. 그거 좋네 гайд 요오드 설정 및 사용에 대해.
• 오지만DNS – Perl로 작성된 Dan Kaminsky의 DNS 터널링 프로젝트. SSH를 통해 연결할 수 있습니다.
• DNSCat2 - “아프지 않은 DNS 터널.” 파일 전송/다운로드, 셸 실행 등을 위해 암호화된 C2 채널을 생성합니다.

DNS 모니터링 유틸리티

다음은 터널링 공격을 탐지하는 데 유용한 여러 유틸리티 목록입니다.

• dnsHunter – MercenaryHuntFramework 및 Mercenary-Linux용으로 작성된 Python 모듈입니다. .pcap 파일을 읽고, DNS 쿼리를 추출하고, 지리적 위치 매핑을 수행하여 분석에 도움을 줍니다.
• reassemble_dns – .pcap 파일을 읽고 DNS 메시지를 분석하는 Python 유틸리티입니다.

DNS 터널링에 대한 마이크로 FAQ

질문과 답변으로 유용한 정보를 만나보세요!

Q: 터널링이란 무엇입니까?
회사 소개 : 이는 단순히 기존 프로토콜을 통해 데이터를 전송하는 방법입니다. 기본 프로토콜은 전용 채널 또는 터널을 제공하며, 이는 실제로 전송되는 정보를 숨기는 데 사용됩니다.

Q: 최초의 DNS 터널링 공격은 언제 이루어졌나요?
회사 소개 : 우리는 모른다! 알고 계시다면 알려주시기 바랍니다. 우리가 아는 한, 이 공격에 대한 첫 번째 논의는 1998년 XNUMX월 Bugtraq 메일링 리스트에서 Oscar Piersan에 의해 시작되었습니다.

Q: DNS 터널링과 유사한 공격은 무엇입니까?
회사 소개 : DNS는 터널링에 사용할 수 있는 유일한 프로토콜과는 거리가 멀습니다. 예를 들어 명령 및 제어(C2) 악성코드는 통신 채널을 마스킹하기 위해 HTTP를 사용하는 경우가 많습니다. DNS 터널링과 마찬가지로 해커는 자신의 데이터를 숨기지만 이 경우에는 일반 웹 브라우저에서 원격 사이트(공격자가 제어하는 ​​사이트)에 액세스하는 트래픽처럼 보입니다. 프로그램이 인식하도록 구성되어 있지 않으면 모니터링 프로그램에서 이 사실을 알아차리지 못할 수 있습니다. 위협 해커 목적으로 HTTP 프로토콜을 남용합니다.

DNS 터널 감지에 도움을 주시겠습니까? 우리 모듈을 확인해 보세요 바로니스 에지 그리고 무료로 사용해 보세요 데모!

출처 : habr.com