Kas ir DNS tunelÄÅ”ana? AtklÄÅ”anas instrukcijas
DNS tunelÄÅ”ana pÄrvÄrÅ” domÄna vÄrdu sistÄmu par hakeru ieroci. DNS bÅ«tÄ«bÄ ir milzÄ«ga interneta tÄlruÅu grÄmata. DNS ir arÄ« pamatÄ esoÅ”ais protokols, kas ļauj administratoriem veikt vaicÄjumus DNS servera datu bÄzÄ. PagaidÄm viss Ŕķiet skaidrs. TaÄu viltÄ«gie hakeri saprata, ka var slepeni sazinÄties ar upura datoru, ievadot vadÄ«bas komandas un datus DNS protokolÄ. Å Ä« ideja ir DNS tunelÄÅ”anas pamatÄ.
KÄ darbojas DNS tunelÄÅ”ana
Visam internetÄ ir savs atseviŔķs protokols. Un DNS atbalsts ir salÄ«dzinoÅ”i vienkÄrÅ”s protokols pieprasÄ«juma-atbildes veids. Ja vÄlaties redzÄt, kÄ tas darbojas, varat palaist nslookup, galveno DNS vaicÄjumu veikÅ”anas rÄ«ku. Varat pieprasÄ«t adresi, vienkÄrÅ”i norÄdot jÅ«s interesÄjoÅ”o domÄna nosaukumu, piemÄram:
MÅ«su gadÄ«jumÄ protokols atbildÄja ar domÄna IP adresi. RunÄjot par DNS protokolu, es veicu adreses pieprasÄ«jumu vai tÄ saukto pieprasÄ«jumu. "A" tips. Ir arÄ« citi pieprasÄ«jumu veidi, un DNS protokols atbildÄs ar atŔķirÄ«gu datu lauku kopu, ko, kÄ redzÄsim vÄlÄk, var izmantot hakeri.
VienÄ vai otrÄ veidÄ DNS protokols ir saistÄ«ts ar pieprasÄ«juma pÄrsÅ«tÄ«Å”anu serverim un tÄ atbildi atpakaļ klientam. Ko darÄ«t, ja uzbrucÄjs domÄna vÄrda pieprasÄ«jumam pievieno slÄptu ziÅojumu? PiemÄram, tÄ vietÄ, lai ievadÄ«tu pilnÄ«gi likumÄ«gu URL, viÅÅ” ievadÄ«s datus, ko vÄlas pÄrsÅ«tÄ«t:
PieÅemsim, ka uzbrucÄjs kontrolÄ DNS serveri. PÄc tam tas var pÄrsÅ«tÄ«t datus, piemÄram, personas datus, bez nepiecieÅ”amÄ«bas to atklÄt. Galu galÄ, kÄpÄc DNS vaicÄjums pÄkÅ”Åi kļūtu par nelikumÄ«gu?
KontrolÄjot serveri, hakeri var viltot atbildes un nosÅ«tÄ«t datus atpakaļ uz mÄrÄ·a sistÄmu. Tas ļauj viÅiem nosÅ«tÄ«t ziÅojumus, kas paslÄpti dažÄdos DNS atbildes laukos, ļaunprogrammatÅ«rai inficÄtajÄ datorÄ ar tÄdiem norÄdÄ«jumiem kÄ meklÄÅ”ana noteiktÄ mapÄ.
Å Ä« uzbrukuma "tunelÄÅ”anas" daļa ir slÄpÅ”ana dati un komandas, kas iegÅ«tas, izmantojot uzraudzÄ«bas sistÄmas. Hakeri var izmantot base32, base64 utt. rakstzÄ«mju kopas vai pat Å”ifrÄt datus. VienkÄrÅ”as draudu noteikÅ”anas utilÄ«tas, kas meklÄ vienkÄrÅ”Ä tekstÄ, Å”Ädu kodÄjumu nepamanÄ«s.
Un Ŕī ir DNS tunelÄÅ”ana!
DNS tunelÄÅ”anas uzbrukumu vÄsture
Visam ir sÄkums, ieskaitot ideju par DNS protokola nolaupÄ«Å”anu uzlauÅ”anas nolÅ«kos. Cik varam spriest, pirmais diskusija Å o uzbrukumu 1998. gada aprÄ«lÄ« veica Oskars PÄ«rsons Bugtraq adresÄtu sarakstÄ.
LÄ«dz 2004. gadam DNS tunelÄÅ”ana tika ieviesta Black Hat kÄ uzlauÅ”anas paÅÄmiens Dan Kaminsky prezentÄcijÄ. TÄdÄjÄdi ideja ļoti Ätri pÄrauga par Ä«stu uzbrukuma rÄ«ku.
MÅ«sdienÄs DNS tunelÄÅ”ana kartÄ ieÅem pÄrliecinoÅ”u pozÄ«ciju potenciÄlie draudi (un informÄcijas droŔības emuÄru autoriem bieži tiek lÅ«gts to izskaidrot).
Vai esat dzirdÄjuÅ”i par JÅ«ras bruÅurupucis ? Å Ä« ir nepÄrtraukta kibernoziedznieku grupu kampaÅa, kas, visticamÄk, ir valsts sponsorÄta, lai nolaupÄ«tu likumÄ«gus DNS serverus, lai novirzÄ«tu DNS pieprasÄ«jumus uz saviem serveriem. Tas nozÄ«mÄ, ka organizÄcijas saÅems "sliktas" IP adreses, kas norÄda uz viltotÄm tÄ«mekļa lapÄm, kuras pÄrvalda hakeri, piemÄram, Google vai FedEx. TajÄ paÅ”Ä laikÄ uzbrucÄji varÄs iegÅ«t lietotÄju kontus un paroles, kuras neapzinÄti ievadÄ«s tos Å”ÄdÄs viltus vietnÄs. TÄ nav DNS tunelÄÅ”ana, bet tikai vÄl vienas neveiksmÄ«gas sekas, ko rada hakeri, kas kontrolÄ DNS serverus.
DNS tunelÄÅ”anas draudi
DNS tunelÄÅ”ana ir kÄ indikators slikto ziÅu stadijas sÄkumam. Kuras? MÄs jau esam runÄjuÅ”i par vairÄkiem, bet strukturÄsim tos:
Datu izvade (eksfiltrÄcija) - hakeris slepeni pÄrsÅ«ta kritiskos datus, izmantojot DNS. Tas noteikti nav efektÄ«vÄkais informÄcijas pÄrsÅ«tÄ«Å”anas veids no cietuÅ”Ä datora ā Åemot vÄrÄ visas izmaksas un kodÄjumus ā, taÄu tas darbojas, un tajÄ paÅ”Ä laikÄ ā slepeni!
Command and Control (saÄ«sinÄti C2) ā hakeri izmanto DNS protokolu, lai nosÅ«tÄ«tu vienkÄrÅ”as vadÄ«bas komandas, piemÄram, attÄlÄs piekļuves Trojas zirgs (AttÄlÄs piekļuves Trojas zirgs, saÄ«sinÄts RAT).
IP-over-DNS tunelÄÅ”ana - Tas var izklausÄ«ties traki, taÄu ir utilÄ«tas, kas ievieÅ” IP steku virs DNS protokola pieprasÄ«jumiem un atbildÄm. Tas veic datu pÄrsÅ«tÄ«Å”anu, izmantojot FTP, Netcat, ssh utt. salÄ«dzinoÅ”i vienkÄrÅ”s uzdevums. ÄrkÄrtÄ«gi draudÄ«gi!
Notiek DNS tunelÄÅ”anas noteikÅ”ana
DNS ļaunprÄtÄ«gas izmantoÅ”anas noteikÅ”anai ir divas galvenÄs metodes: slodzes analÄ«ze un trafika analÄ«ze.
Pie slodzes analÄ«ze AizstÄvoÅ”Ä puse meklÄ anomÄlijas Å”urpu un atpakaļ nosÅ«tÄ«tajos datos, kuras var noteikt ar statistiskÄm metodÄm: dÄ«vaini izskatÄs resursdatora nosaukumi, DNS ieraksta tips, kas netiek izmantots tik bieži, vai nestandarta kodÄjums.
Pie satiksmes analÄ«ze DNS pieprasÄ«jumu skaits katram domÄnam tiek aprÄÄ·inÄts, salÄ«dzinot ar statistisko vidÄjo. UzbrucÄji, kas izmanto DNS tunelÄÅ”anu, Ä£enerÄs lielu trafika apjomu uz serveri. TeorÄtiski ievÄrojami pÄrÄka par parasto DNS ziÅojumu apmaiÅu. Un tas ir jÄuzrauga!
DNS tunelÄÅ”anas utilÄ«tas
Ja vÄlaties veikt savu pentestu un redzÄt, cik labi jÅ«su uzÅÄmums var atklÄt Å”Ädas darbÄ«bas un reaÄ£Ät uz tÄm, tam ir vairÄkas utilÄ«tas. Visi no tiem var tuneli režīmÄ IP-over-DNS:
jods ā pieejams daudzÄs platformÄs (Linux, Mac OS, FreeBSD un Windows). Ä»auj instalÄt SSH apvalku starp mÄrÄ·a un vadÄ«bas datoru. Tas ir labs vadÄ«t par joda iestatÄ«Å”anu un lietoÅ”anu.
OzymanDNS - DNS tunelÄÅ”anas projekts no Dan Kaminsky, rakstÄ«ts Perl. Varat izveidot savienojumu ar to, izmantojot SSH.
DNSCat2 - "DNS tunelis, kas nesaslimst." Izveido Å”ifrÄtu C2 kanÄlu failu nosÅ«tÄ«Å”anai/lejupielÄdÄÅ”anai, Äaulu palaiÅ”anai utt.
DNS uzraudzības utilītas
ZemÄk ir saraksts ar vairÄkÄm utilÄ«tprogrammÄm, kas bÅ«s noderÄ«gas tuneļu uzbrukumu noteikÅ”anai:
dnsHunter - Python modulis, kas rakstÄ«ts MercenaryHuntFramework un Mercenary-Linux. Lasa .pcap failus, izvelk DNS vaicÄjumus un veic Ä£eogrÄfiskÄs atraÅ”anÄs vietas kartÄÅ”anu, lai palÄ«dzÄtu veikt analÄ«zi.
reassemble_dns ā Python utilÄ«ta, kas nolasa .pcap failus un analizÄ DNS ziÅojumus.
Mikro bieži uzdotie jautÄjumi par DNS tunelÄÅ”anu
NoderÄ«ga informÄcija jautÄjumu un atbilžu veidÄ!
J: Kas ir tunelÄÅ”ana? Par: Tas ir vienkÄrÅ”i veids, kÄ pÄrsÅ«tÄ«t datus, izmantojot esoÅ”u protokolu. PamatÄ esoÅ”ais protokols nodroÅ”ina Ä«paÅ”u kanÄlu vai tuneli, ko pÄc tam izmanto, lai paslÄptu faktiski pÄrsÅ«tÄ«to informÄciju.
J: Kad tika veikts pirmais DNS tunelÄÅ”anas uzbrukums? Par: MÄs nezinÄm! Ja zinÄt, lÅ«dzu, paziÅojiet mums. Cik mums ir zinÄms, pirmo diskusiju par uzbrukumu aizsÄka Oskars PÄ«rsans Bugtraq adresÄtu sarakstÄ 1998. gada aprÄ«lÄ«.
J: KÄdi uzbrukumi ir lÄ«dzÄ«gi DNS tunelÄÅ”anai? Par: DNS nebÅ«t nav vienÄ«gais protokols, ko var izmantot tunelÄÅ”anai. PiemÄram, komandÄÅ”anas un kontroles (C2) ļaunprogrammatÅ«ra bieži izmanto HTTP, lai maskÄtu sakaru kanÄlu. TÄpat kÄ DNS tunelÄÅ”anas gadÄ«jumÄ, hakeris slÄpj savus datus, taÄu Å”ajÄ gadÄ«jumÄ tas izskatÄs kÄ trafiks no parastas tÄ«mekļa pÄrlÅ«kprogrammas, kas piekļūst attÄlai vietnei (ko kontrolÄ uzbrucÄjs). To var nepamanÄ«t uzraudzÄ«bas programmas, ja tÄs nav konfigurÄtas uztverÅ”anai draudi HTTP protokola ļaunprÄtÄ«ga izmantoÅ”ana hakeru nolÅ«kos.
Vai vÄlaties, lai mÄs palÄ«dzam ar DNS tuneļa noteikÅ”anu? Apskatiet mÅ«su moduli Varonis Edge un izmÄÄ£iniet to bez maksas demo!