DNS Tunneling mécht den Domain Numm System zu enger Waff fir Hacker. DNS ass wesentlech dat enormt Telefonsbuch vum Internet. DNS ass och de Basisdaten Protokoll deen Administrateuren erlaabt d'DNS Server Datebank ze froen. Bis elo schéngt alles kloer. Awer lëschteg Hacker hu gemierkt datt si geheim mam Affercomputer kommunizéieren kënnen andeems se Kontrollbefehl an Daten an den DNS-Protokoll injizéieren. Dës Iddi ass d'Basis vum DNS Tunneling.
Wéi DNS Tunneling funktionnéiert
Alles um Internet huet säin eegene separaten Protokoll. An DNS Support ass relativ einfach Ufro-Äntwert Typ. Wann Dir wëllt gesinn wéi et funktionnéiert, kënnt Dir nslookup lafen, den Haaptinstrument fir DNS Ufroen ze maachen. Dir kënnt eng Adress ufroen andeems Dir einfach den Domain Numm uginn an deem Dir interesséiert sidd, zum Beispill:
An eisem Fall huet de Protokoll mat der Domain IP Adress geäntwert. Wat den DNS-Protokoll ugeet, hunn ech eng Adressufro oder eng sougenannt Ufro gemaach. Typ "A". Et ginn aner Aarte vun Ufroen, an den DNS-Protokoll reagéiert mat engem anere Set vun Datefelder, déi, wéi mir spéider gesinn, vun Hacker ausgenotzt kënne ginn.
Eng Manéier oder aner, am Kär, ass den DNS Protokoll beschäftegt mat der Iwwerdroung vun enger Ufro un de Server a seng Äntwert zréck op de Client. Wat wann en Ugräifer e verstoppte Message an enger Domain Numm Ufro bäidréit? Zum Beispill, anstatt eng komplett legitim URL anzeginn, gitt hien d'Donnéeën déi hie wëll iwwerdroen:
Loosst eis soen datt en Ugräifer den DNS-Server kontrolléiert. Et kann dann Daten iwwerdroen - perséinlech Donnéeën, zum Beispill - ouni onbedéngt festgestallt ze ginn. Iwwerhaapt, firwat géif eng DNS Ufro op eemol eppes illegitimes ginn?
Andeems Dir de Server kontrolléiert, kënnen Hacker Äntwerte schmëlzen an Daten zréck an den Zilsystem schécken. Dëst erlaabt hinnen Messagen verstoppt a verschiddene Felder vun der DNS Äntwert op d'Malware op der infizéierter Maschinn ze passéieren, mat Instruktioune wéi d'Sich an engem spezifeschen Dossier.
De "Tunnel" Deel vun dëser Attack ass Daten a Befehle vun der Detektioun duerch Iwwerwaachungssystemer. Hacker kënnen Base32, Base64, etc. Zeechesets benotzen, oder souguer d'Donnéeë verschlësselen. Esou Kodéierung passéiert onentdeckt duerch einfache Bedrohungserkennung Utilitys déi de Kloertext sichen.
An dëst ass DNS Tunneling!
Geschicht vun DNS Tunneling Attacken
Alles huet en Ufank, och d'Iddi fir den DNS-Protokoll fir Hackzwecker ze kapéieren. Sou wäit wéi mir soen, déi éischt Dës Attack gouf vum Oskar Pearson op der Bugtraq Mailing Lëscht am Abrëll 1998 duerchgefouert.
Bis 2004 gouf DNS Tunneling um Black Hat als Hacking Technik agefouert an enger Presentatioun vum Dan Kaminsky. Sou ass d'Iddi ganz séier zu engem richtegen Attack-Tool gewuess.
Haut besetzt DNS Tunneling eng zouversiichtlech Positioun op der Kaart (an Informatiounssécherheetsblogger ginn dacks gefrot et z'erklären).
Hutt Dir iwwer héieren ? Dëst ass eng lafend Kampagne vu Cyberkriminelle Gruppen - héchstwahrscheinlech staatlech gesponsert - fir legitim DNS-Server ze kapéieren fir DNS-Ufroen op hir eege Serveren ze redirectéieren. Dëst bedeit datt Organisatiounen "schlecht" IP Adresse kréien, déi op gefälschte Websäite weisen, déi vun Hacker lafen, wéi Google oder FedEx. Zur selwechter Zäit kënnen Ugräifer Benotzerkonten a Passwierder kréien, déi se onbewosst op esou gefälschte Site aginn. Dëst ass net DNS Tunneling, awer just eng aner onglécklech Konsequenz vun Hacker déi DNS Server kontrolléieren.
DNS Tunneling Geforen
DNS Tunneling ass wéi en Indikator vum Ufank vun der schlechter Neiegkeet Etapp. Wéieng? Mir hu schonn iwwer e puer geschwat, awer loosst eis se strukturéieren:
- Datenausgang (Exfiltratioun) - en Hacker vermëttelt geheim kritesch Donnéeën iwwer DNS. Dëst ass definitiv net déi effizient Manéier fir Informatioun vum Affercomputer ze transferéieren - all d'Käschten an d'Kodéierunge berücksichtegt - awer et funktionnéiert, a gläichzäiteg - geheim!
- Kommando a Kontroll (abkierzt C2) - Hacker benotzen den DNS-Protokoll fir einfach Kontrollbefehl duerch z. (Remote Access Trojaner, ofgekierzt RAT).
- IP-Over-DNS Tunneling - Dëst kléngt vläicht verréckt, awer et ginn Utilities déi en IP Stack uewen op DNS Protokoll Ufroen an Äntwerten implementéieren. Et mécht Datenübertragung mat FTP, Netcat, ssh, etc. eng relativ einfach Aufgab. Extrem ominös!
DNS Tunneling erkennen
Et ginn zwou Haaptmethoden fir DNS Mëssbrauch z'entdecken: Laaschtanalyse a Verkéiersanalyse.
um Laascht Analyse D'Verteidegungspartei sicht Anomalien an den Donnéeën, déi zréck an zréck geschéckt ginn, déi duerch statistesch Methoden erkannt kënne ginn: komesch ausgesinn Hostnamen, en DNS-Rekordtyp deen net sou dacks benotzt gëtt oder net-Standard Kodéierung.
um Verkéier Analyse D'Zuel vun DNS-Ufroe fir all Domain gëtt am Verglach zum statisteschen Duerchschnëtt geschätzt. Ugräifer déi DNS-Tunnel benotzen generéiere vill Traffic op de Server. An Theorie, wesentlech besser wéi normal DNS Messageaustausch. An dat muss iwwerwaacht ginn!
DNS Tunneling Utilities
Wann Dir Ären eegene Pentest wëllt ausféieren a kucken wéi gutt Är Firma esou Aktivitéit kann erkennen an reagéieren, et gi verschidde Utilities fir dëst. All vun hinnen kënnen am Modus Tunnel IP-iwwer-DNS:
- - verfügbar op ville Plattformen (Linux, Mac OS, FreeBSD a Windows). Erlaabt Iech eng SSH Shell tëscht dem Zil- a Kontrollcomputer z'installéieren. Dat ass eng gutt iwwer d'Opstellung an d'Benotzung vu Jod.
- - DNS Tunnelprojet vum Dan Kaminsky, geschriwwen an Perl. Dir kënnt et iwwer SSH verbannen.
- - "DNS Tunnel deen Iech net krank mécht." Erstellt e verschlësselte C2 Kanal fir Dateien ze schécken / erofzelueden, Shells ze starten, asw.
DNS Iwwerwachung Utilities
Drënner ass eng Lëscht vu verschiddenen Utilities déi nëtzlech si fir Tunnelingattacken z'entdecken:
- - Python Modul geschriwwen fir MercenaryHuntFramework a Mercenary-Linux. Liest .pcap Dateien, extrahéiert DNS Ufroen a mécht Geolocatiounsmapping fir Hëllef bei der Analyse.
- – e Python-Utility dat .pcap-Dateien liest an DNS-Messagen analyséiert.
Mikro FAQ iwwer DNS Tunneling
Nëtzlech Informatioun a Form vu Froen an Äntwerten!
Q: Wat ass Tunneling?
IWWERT: Et ass einfach e Wee fir Daten iwwer e bestehend Protokoll ze transferéieren. Den ënnerierdesche Protokoll bitt en dedizéierten Kanal oder Tunnel, deen dann benotzt gëtt fir d'Informatioun ze verstoppen déi tatsächlech iwwerdroe gëtt.
Q: Wéini gouf déi éischt DNS-Tunnelattack duerchgefouert?
IWWERT: Mir wëssen net! Wann Dir wësst, sot mir weg Bescheed. Sou bescht vun eisem Wëssen, gouf déi éischt Diskussioun iwwer den Attack vum Oscar Piersan an der Bugtraq Mailing Lëscht am Abrëll 1998 initiéiert.
Q: Wéi eng Attacke sinn ähnlech wéi DNS Tunneling?
IWWERT: DNS ass wäit vum eenzege Protokoll dee fir Tunneling benotzt ka ginn. Zum Beispill, Kommando a Kontroll (C2) Malware benotzt dacks HTTP fir de Kommunikatiounskanal ze maskéieren. Wéi mat DNS-Tunnel verstoppt den Hacker seng Donnéeën, awer an dësem Fall gesäit et aus wéi de Traffic aus engem normale Webbrowser Zougang zu enger Remote Site (kontrolléiert vum Ugräifer). Dëst kann onnotéiert ginn duerch Iwwerwaachungsprogrammer wa se net konfiguréiert sinn fir ze gesinn Mëssbrauch vum HTTP-Protokoll fir Hackerzwecker.
Wëllt Dir datt mir mat DNS Tunnel Detektioun hëllefen? Kuckt eise Modul un a probéiert et gratis !
Source: will.com