ProHoster > Blogs > Administrācija > Kas ir DNS tunelÄ“Å”ana? AtklāŔanas instrukcijas

Kas ir DNS tunelÄ“Å”ana? AtklāŔanas instrukcijas

Kas ir DNS tunelÄ“Å”ana? AtklāŔanas instrukcijas

DNS tunelÄ“Å”ana pārvērÅ” domēna vārdu sistēmu par hakeru ieroci. DNS bÅ«tÄ«bā ir milzÄ«ga interneta tālruņu grāmata. DNS ir arÄ« pamatā esoÅ”ais protokols, kas ļauj administratoriem veikt vaicājumus DNS servera datu bāzē. Pagaidām viss Ŕķiet skaidrs. Taču viltÄ«gie hakeri saprata, ka var slepeni sazināties ar upura datoru, ievadot vadÄ«bas komandas un datus DNS protokolā. Å Ä« ideja ir DNS tunelÄ“Å”anas pamatā.

Kā darbojas DNS tunelÄ“Å”ana

Kas ir DNS tunelÄ“Å”ana? AtklāŔanas instrukcijas

Visam internetā ir savs atseviŔķs protokols. Un DNS atbalsts ir salÄ«dzinoÅ”i vienkārÅ”s protokols pieprasÄ«juma-atbildes veids. Ja vēlaties redzēt, kā tas darbojas, varat palaist nslookup, galveno DNS vaicājumu veikÅ”anas rÄ«ku. Varat pieprasÄ«t adresi, vienkārÅ”i norādot jÅ«s interesējoÅ”o domēna nosaukumu, piemēram:

Kas ir DNS tunelÄ“Å”ana? AtklāŔanas instrukcijas

MÅ«su gadÄ«jumā protokols atbildēja ar domēna IP adresi. Runājot par DNS protokolu, es veicu adreses pieprasÄ«jumu vai tā saukto pieprasÄ«jumu. "A" tips. Ir arÄ« citi pieprasÄ«jumu veidi, un DNS protokols atbildēs ar atŔķirÄ«gu datu lauku kopu, ko, kā redzēsim vēlāk, var izmantot hakeri.

Vienā vai otrā veidā DNS protokols ir saistÄ«ts ar pieprasÄ«juma pārsÅ«tÄ«Å”anu serverim un tā atbildi atpakaļ klientam. Ko darÄ«t, ja uzbrucējs domēna vārda pieprasÄ«jumam pievieno slēptu ziņojumu? Piemēram, tā vietā, lai ievadÄ«tu pilnÄ«gi likumÄ«gu URL, viņŔ ievadÄ«s datus, ko vēlas pārsÅ«tÄ«t:

Kas ir DNS tunelÄ“Å”ana? AtklāŔanas instrukcijas

Pieņemsim, ka uzbrucējs kontrolē DNS serveri. Pēc tam tas var pārsÅ«tÄ«t datus, piemēram, personas datus, bez nepiecieÅ”amÄ«bas to atklāt. Galu galā, kāpēc DNS vaicājums pēkŔņi kļūtu par nelikumÄ«gu?

Kontrolējot serveri, hakeri var viltot atbildes un nosÅ«tÄ«t datus atpakaļ uz mērÄ·a sistēmu. Tas ļauj viņiem nosÅ«tÄ«t ziņojumus, kas paslēpti dažādos DNS atbildes laukos, ļaunprogrammatÅ«rai inficētajā datorā ar tādiem norādÄ«jumiem kā meklÄ“Å”ana noteiktā mapē.

Å Ä« uzbrukuma "tunelÄ“Å”anas" daļa ir slēpÅ”ana dati un komandas, kas iegÅ«tas, izmantojot uzraudzÄ«bas sistēmas. Hakeri var izmantot base32, base64 utt. rakstzÄ«mju kopas vai pat Å”ifrēt datus. VienkārÅ”as draudu noteikÅ”anas utilÄ«tas, kas meklē vienkārŔā tekstā, Ŕādu kodējumu nepamanÄ«s.

Un Ŕī ir DNS tunelÄ“Å”ana!

DNS tunelÄ“Å”anas uzbrukumu vēsture

Visam ir sākums, ieskaitot ideju par DNS protokola nolaupīŔanu uzlauŔanas nolūkos. Cik varam spriest, pirmais diskusija Šo uzbrukumu 1998. gada aprīlī veica Oskars Pīrsons Bugtraq adresātu sarakstā.

LÄ«dz 2004. gadam DNS tunelÄ“Å”ana tika ieviesta Black Hat kā uzlauÅ”anas paņēmiens Dan Kaminsky prezentācijā. Tādējādi ideja ļoti ātri pārauga par Ä«stu uzbrukuma rÄ«ku.

MÅ«sdienās DNS tunelÄ“Å”ana kartē ieņem pārliecinoÅ”u pozÄ«ciju potenciālie draudi (un informācijas droŔības emuāru autoriem bieži tiek lÅ«gts to izskaidrot).

Vai esat dzirdējuÅ”i par JÅ«ras bruņurupucis ? Å Ä« ir nepārtraukta kibernoziedznieku grupu kampaņa, kas, visticamāk, ir valsts sponsorēta, lai nolaupÄ«tu likumÄ«gus DNS serverus, lai novirzÄ«tu DNS pieprasÄ«jumus uz saviem serveriem. Tas nozÄ«mē, ka organizācijas saņems "sliktas" IP adreses, kas norāda uz viltotām tÄ«mekļa lapām, kuras pārvalda hakeri, piemēram, Google vai FedEx. Tajā paŔā laikā uzbrucēji varēs iegÅ«t lietotāju kontus un paroles, kuras neapzināti ievadÄ«s tos Ŕādās viltus vietnēs. Tā nav DNS tunelÄ“Å”ana, bet tikai vēl vienas neveiksmÄ«gas sekas, ko rada hakeri, kas kontrolē DNS serverus.

DNS tunelēŔanas draudi

Kas ir DNS tunelÄ“Å”ana? AtklāŔanas instrukcijas

DNS tunelÄ“Å”ana ir kā indikators slikto ziņu stadijas sākumam. Kuras? Mēs jau esam runājuÅ”i par vairākiem, bet strukturēsim tos:

  • Datu izvade (eksfiltrācija) - hakeris slepeni pārsÅ«ta kritiskos datus, izmantojot DNS. Tas noteikti nav efektÄ«vākais informācijas pārsÅ«tÄ«Å”anas veids no cietuŔā datora ā€“ ņemot vērā visas izmaksas un kodējumus ā€“, taču tas darbojas, un tajā paŔā laikā ā€“ slepeni!
  • Command and Control (saÄ«sināti C2) ā€“ hakeri izmanto DNS protokolu, lai nosÅ«tÄ«tu vienkārÅ”as vadÄ«bas komandas, piemēram, attālās piekļuves Trojas zirgs (Attālās piekļuves Trojas zirgs, saÄ«sināts RAT).
  • IP-over-DNS tunelÄ“Å”ana - Tas var izklausÄ«ties traki, taču ir utilÄ«tas, kas ievieÅ” IP steku virs DNS protokola pieprasÄ«jumiem un atbildēm. Tas veic datu pārsÅ«tÄ«Å”anu, izmantojot FTP, Netcat, ssh utt. salÄ«dzinoÅ”i vienkārÅ”s uzdevums. ĀrkārtÄ«gi draudÄ«gi!

Notiek DNS tunelēŔanas noteikŔana

Kas ir DNS tunelÄ“Å”ana? AtklāŔanas instrukcijas

DNS ļaunprātīgas izmantoŔanas noteikŔanai ir divas galvenās metodes: slodzes analīze un trafika analīze.

Pie slodzes analÄ«ze AizstāvoŔā puse meklē anomālijas Å”urpu un atpakaļ nosÅ«tÄ«tajos datos, kuras var noteikt ar statistiskām metodēm: dÄ«vaini izskatās resursdatora nosaukumi, DNS ieraksta tips, kas netiek izmantots tik bieži, vai nestandarta kodējums.

Pie satiksmes analÄ«ze DNS pieprasÄ«jumu skaits katram domēnam tiek aprēķināts, salÄ«dzinot ar statistisko vidējo. Uzbrucēji, kas izmanto DNS tunelÄ“Å”anu, Ä£enerēs lielu trafika apjomu uz serveri. Teorētiski ievērojami pārāka par parasto DNS ziņojumu apmaiņu. Un tas ir jāuzrauga!

DNS tunelēŔanas utilītas

Ja vēlaties veikt savu pentestu un redzēt, cik labi jÅ«su uzņēmums var atklāt Ŕādas darbÄ«bas un reaģēt uz tām, tam ir vairākas utilÄ«tas. Visi no tiem var tuneli režīmā IP-over-DNS:

  • jods ā€“ pieejams daudzās platformās (Linux, Mac OS, FreeBSD un Windows). Ä»auj instalēt SSH apvalku starp mērÄ·a un vadÄ«bas datoru. Tas ir labs vadÄ«t par joda iestatÄ«Å”anu un lietoÅ”anu.
  • OzymanDNS - DNS tunelÄ“Å”anas projekts no Dan Kaminsky, rakstÄ«ts Perl. Varat izveidot savienojumu ar to, izmantojot SSH.
  • DNSCat2 - "DNS tunelis, kas nesaslimst." Izveido Å”ifrētu C2 kanālu failu nosÅ«tÄ«Å”anai/lejupielādÄ“Å”anai, čaulu palaiÅ”anai utt.

DNS uzraudzības utilītas

Zemāk ir saraksts ar vairākām utilītprogrammām, kas būs noderīgas tuneļu uzbrukumu noteikŔanai:

  • dnsHunter - Python modulis, kas rakstÄ«ts MercenaryHuntFramework un Mercenary-Linux. Lasa .pcap failus, izvelk DNS vaicājumus un veic Ä£eogrāfiskās atraÅ”anās vietas kartÄ“Å”anu, lai palÄ«dzētu veikt analÄ«zi.
  • reassemble_dns ā€“ Python utilÄ«ta, kas nolasa .pcap failus un analizē DNS ziņojumus.

Mikro bieži uzdotie jautājumi par DNS tunelÄ“Å”anu

Noderīga informācija jautājumu un atbilžu veidā!

J: Kas ir tunelēŔana?
Par: Tas ir vienkārÅ”i veids, kā pārsÅ«tÄ«t datus, izmantojot esoÅ”u protokolu. Pamatā esoÅ”ais protokols nodroÅ”ina Ä«paÅ”u kanālu vai tuneli, ko pēc tam izmanto, lai paslēptu faktiski pārsÅ«tÄ«to informāciju.

J: Kad tika veikts pirmais DNS tunelēŔanas uzbrukums?
Par: Mēs nezinām! Ja zināt, lūdzu, paziņojiet mums. Cik mums ir zināms, pirmo diskusiju par uzbrukumu aizsāka Oskars Pīrsans Bugtraq adresātu sarakstā 1998. gada aprīlī.

J: Kādi uzbrukumi ir lÄ«dzÄ«gi DNS tunelÄ“Å”anai?
Par: DNS nebÅ«t nav vienÄ«gais protokols, ko var izmantot tunelÄ“Å”anai. Piemēram, komandÄ“Å”anas un kontroles (C2) ļaunprogrammatÅ«ra bieži izmanto HTTP, lai maskētu sakaru kanālu. Tāpat kā DNS tunelÄ“Å”anas gadÄ«jumā, hakeris slēpj savus datus, taču Å”ajā gadÄ«jumā tas izskatās kā trafiks no parastas tÄ«mekļa pārlÅ«kprogrammas, kas piekļūst attālai vietnei (ko kontrolē uzbrucējs). To var nepamanÄ«t uzraudzÄ«bas programmas, ja tās nav konfigurētas uztverÅ”anai draudi HTTP protokola ļaunprātÄ«ga izmantoÅ”ana hakeru nolÅ«kos.

Vai vēlaties, lai mēs palÄ«dzam ar DNS tuneļa noteikÅ”anu? Apskatiet mÅ«su moduli Varonis Edge un izmēģiniet to bez maksas demo!

Avots: www.habr.com

Pievieno komentāru