DNS туннелдери домендик аталыштар системасын хакерлер үчүн куралга айлантат. DNS негизинен Интернеттин чоң телефон китепчеси. DNS ошондой эле администраторлорго DNS серверинин маалымат базасын суроого мүмкүндүк берген негизги протокол болуп саналат. Азырынча баары ачык көрүнөт. Бирок куу хакерлер DNS протоколуна башкаруу буйруктарын жана маалыматтарды киргизүү аркылуу жабырлануучу компьютер менен жашыруун байланыша аларын түшүнүшкөн. Бул идея DNS туннелинин негизи болуп саналат.
DNS туннели кантип иштейт
Интернетте бардык нерсенин өзүнчө протоколу бар. Жана DNS колдоо салыштырмалуу жөнөкөй суроо-жооп түрү. Эгер анын кантип иштээрин көргүңүз келсе, DNS сурамдарын жасоонун негизги куралы болгон nslookup программасын иштетсеңиз болот. Сиз жөн гана сизди кызыктырган домен атын көрсөтүү менен даректи сурасаңыз болот, мисалы:
Биздин учурда, протокол домендин IP дареги менен жооп берди. DNS протоколуна келсек, мен дарек суроосун же сурам деп аталган нерсени жасадым. "А" түрү. Сурамдардын башка түрлөрү бар жана DNS протоколу кийинчерээк көрө тургандай, хакерлер тарабынан пайдаланылышы мүмкүн болгон маалымат талааларынын башка топтому менен жооп берет.
Кандайдыр бир деңгээлде, DNS протоколу серверге суроо-талапты өткөрүп берүү жана анын кардарга жооп кайтаруу менен байланышкан. Эгер чабуулчу домендик аталыштын сурамынын ичине жашыруун билдирүү кошсочу? Мисалы, толугу менен мыйзамдуу URL киргизүүнүн ордуна, ал өткөргүсү келген маалыматтарды киргизет:
Келгиле, чабуулчу DNS серверин башкарат дейли. Андан кийин ал маалыматтарды, мисалы, жеке маалыматтарды сөзсүз түрдө аныкталбастан өткөрүп бере алат. Эмне үчүн DNS сурамы күтүлбөгөн жерден мыйзамсыз нерсе болуп калат?
Серверди башкаруу менен хакерлер жоопторду жасап, маалыматтарды максаттуу системага кайра жөнөтө алышат. Бул аларга белгилүү бир папканын ичинде издөө сыяктуу инструкциялар менен жуккан машинадагы кесепеттүү программаларга DNS жооп берүүсүнүн ар кандай тармактарында жашырылган билдирүүлөрдү өткөрүүгө мүмкүндүк берет.
Бул чабуулдун "туннелдик" бөлүгү болуп саналат мониторинг системалары тарабынан аныктоодон алынган маалыматтар жана буйруктар. Хакерлер base32, base64 ж.б. символдор топтомун колдоно алышат, ал тургай маалыматтарды шифрлей алышат. Мындай коддоо ачык текстти издеген коркунучтарды аныктоочу жөнөкөй утилиталар тарабынан байкалбастан өтөт.
Жана бул DNS туннели!
DNS туннелдик чабуулдарынын тарыхы
Бардык нерсенин башталышы бар, анын ичинде DNS протоколун хакердик максатта уурдоо идеясы бар. Биз айта турган болсок, биринчи Бул чабуул 1998-жылы апрелде Bugtraq почта тизмесинде Оскар Пирсон тарабынан жасалган.
2004-жылга карата, DNS туннелдери Black Hat'те Дэн Каминскийдин презентациясында хакердик ыкма катары киргизилген. Ошентип, идея абдан тез эле чыныгы чабуул куралына айланган.
Бүгүнкү күндө DNS туннелдери картада ишенимдүү позицияны ээлейт (жана маалымат коопсуздугу боюнча блоггерлер көп учурда түшүндүрүп берүүнү суранышат).
жөнүндө уктуңуз беле ? Бул киберкриминалдык топтордун, кыязы, мамлекет тарабынан каржыланган - DNS суроо-талаптарын өз серверлерине багыттоо үчүн мыйзамдуу DNS серверлерин басып алуу боюнча жүрүп жаткан кампаниясы. Бул уюмдар Google же FedEx сыяктуу хакерлер тарабынан башкарылган жасалма веб-баракчаларды көрсөткөн "жаман" IP даректерин алышат дегенди билдирет. Ошол эле учурда чабуулчулар колдонуучу аккаунттарын жана паролдорун ала алышат, алар билбестен аларды ушундай жасалма сайттарга киргизишет. Бул DNS туннели эмес, бирок DNS серверлерин башкарган хакерлердин дагы бир өкүнүчтүү кесепети.
DNS туннелдик коркунучтары
DNS туннели жаман кабар этабынын башталышынын көрсөткүчү сыяктуу. Кайсылары? Биз буга чейин бир нече жөнүндө сүйлөшкөнбүз, бирок келгиле, аларды түзөлү:
- Маалымат чыгаруу (эксфильтрация) – хакер критикалык маалыматтарды DNS аркылуу жашыруун өткөрүп берет. Бул, албетте, бардык чыгымдарды жана коддоолорду эске алуу менен, жабырлануучу компьютерден маалыматты өткөрүп берүүнүн эң натыйжалуу жолу эмес, бирок ал иштейт, жана ошол эле учурда - жашыруун!
- Буйрук жана башкаруу (кыскача C2) – хакерлер жөнөкөй башкаруу буйруктарын жөнөтүү үчүн DNS протоколун колдонушат, мисалы: (Remote Access Trojan, кыскартылган RAT).
- IP-Over-DNS туннели - Бул жиндидей сезилиши мүмкүн, бирок DNS протоколунун суроо-талаптары жана жоопторунун үстүнө IP стек киргизген утилиталар бар. Ал FTP, Netcat, ssh ж.б. колдонуу менен маалыматтарды өткөрүп берет. салыштырмалуу жөнөкөй иш. Абдан коркунучтуу!
DNS туннелин аныктоо
DNS кыянаттык менен пайдаланууну аныктоонун эки негизги ыкмасы бар: жүктү анализдөө жана трафикти талдоо.
боюнча жүк талдоо Коргоочу тарап артка жана алдыга жөнөтүлгөн маалыматтарда статистикалык ыкмалар менен аныктала турган аномалияларды издейт: кызыктай көрүнгөн хост аттары, көп колдонулбаган DNS жазуу түрү же стандарттуу эмес коддоо.
боюнча жол кыймылын талдоо ар бир доменге DNS сурамдарынын саны орточо статистикалык көрсөткүчкө салыштырмалуу бааланат. DNS туннелин колдонгон чабуулчулар серверге чоң көлөмдөгү трафикти жаратышат. Теориялык жактан алганда, кадимки DNS билдирүү алмашуусунан кыйла жогору. Жана муну көзөмөлдөш керек!
DNS туннелдик программалары
Эгер сиз өзүңүздүн пентестиңизди өткөргүңүз келсе жана сиздин компанияңыз мындай иш-аракеттерди канчалык деңгээлде аныктап, жооп бере аларын көргүңүз келсе, бул үчүн бир нече утилиталар бар. Алардын баары режимде туннель жасай алышат IP-Over-DNS:
- – көптөгөн платформаларда жеткиликтүү (Linux, Mac OS, FreeBSD жана Windows). Максаттуу жана башкаруучу компьютерлердин ортосунда SSH кабыгын орнотууга мүмкүндүк берет. Бул жакшы нерсе Йодду орнотуу жана колдонуу боюнча.
- – Perl тилинде жазылган Дэн Каминскийдин DNS туннелдик долбоору. Сиз ага SSH аркылуу туташа аласыз.
- - "Сизди оорутпай турган DNS туннели." Файлдарды жөнөтүү/жүктөө, кабыктарды ишке киргизүү жана башкалар үчүн шифрленген C2 каналын түзөт.
DNS мониторинг утилиталары
Төмөндө туннелдик чабуулдарды аныктоо үчүн пайдалуу болгон бир нече утилиттердин тизмеси келтирилген:
- – MercenaryHuntFramework жана Mercenary-Linux үчүн жазылган Python модулу. .pcap файлдарын окуйт, DNS сурамдарын чыгарат жана анализге жардам берүү үчүн геолокациянын картасын аткарат.
- – .pcap файлдарын окуган жана DNS билдирүүлөрүн талдоочу Python утилитасы.
DNS туннели боюнча микро FAQ
Суроо-жооп түрүндө пайдалуу маалымат!
С: Туннелдөө деген эмне?
ЖӨНҮНДӨ: Бул жөн гана учурдагы протокол боюнча маалыматтарды өткөрүп берүү жолу. Негизги протокол атайын каналды же туннелди камсыз кылат, ал андан кийин чындыгында берилүүчү маалыматты жашыруу үчүн колдонулат.
С: Биринчи DNS туннелдик чабуул качан жасалган?
ЖӨНҮНДӨ: Биз билбейбиз! Билгендер болсо кабарлап койгулачы сураныч. Биздин билишибизче, чабуулдун биринчи талкуусу 1998-жылы апрелде Bugtraq почта тизмесинде Оскар Пирсан тарабынан башталган.
С: DNS туннелдерине кандай чабуулдар окшош?
ЖӨНҮНДӨ: DNS туннельдештирүү үчүн колдонула турган жалгыз протоколдон алыс. Мисалы, буйрук жана башкаруу (C2) зыяндуу программасы көбүнчө байланыш каналын маска үчүн HTTP колдонот. DNS туннелинде болгондой эле, хакер өзүнүн маалыматтарын жашырат, бирок бул учурда ал кадимки веб-браузерден алыскы сайтка кирген трафик сыяктуу көрүнөт (чабуулчу тарабынан башкарылат). Бул мониторинг программалары байкабай калышы мүмкүн, эгерде алар кабыл алуу үчүн конфигурацияланбаса хакердик максаттар үчүн HTTP протоколун кыянаттык менен пайдалануу.
DNS туннелдерин аныктоого жардам беришибизди каалайсызбы? Биздин модулду карап көрүңүз жана бекер аракет кылып көрүңүз !
Source: www.habr.com