DNS туннел нь домэйн нэрийн системийг хакеруудын зэвсэг болгон хувиргадаг. DNS бол үндсэндээ интернетийн асар том утасны дэвтэр юм. DNS нь мөн администраторуудад DNS серверийн мэдээллийн сангаас лавлагаа авах боломжийг олгодог үндсэн протокол юм. Одоогоор бүх зүйл тодорхой харагдаж байна. Гэвч зальтай хакерууд DNS протоколд хяналтын командууд болон өгөгдөл оруулах замаар хохирогчийн компьютертэй нууцаар харилцаж чадна гэдгээ ойлгосон. Энэ санаа нь DNS туннелийн үндэс суурь юм.
DNS туннель хэрхэн ажилладаг
Интернет дээр байгаа бүх зүйл өөрийн гэсэн тусдаа протоколтой байдаг. Мөн DNS дэмжлэг нь харьцангуй энгийн
Манай тохиолдолд протокол нь домэйны IP хаягаар хариу өгсөн. DNS протоколын хувьд би хаягийн хүсэлт эсвэл хүсэлт гэж нэрлэгддэг хүсэлт гаргасан. "А" төрөл. Өөр төрлийн хүсэлтүүд байдаг бөгөөд DNS протокол нь өөр өөр өгөгдлийн талбаруудаар хариу үйлдэл үзүүлэх бөгөөд үүнийг бид дараа нь харах болно, хакерууд үүнийг ашиглаж болно.
Ямар нэг байдлаар DNS протокол нь хүсэлтийг сервер рүү дамжуулах, түүний хариуг үйлчлүүлэгч рүү буцааж өгөхтэй холбоотой байдаг. Хэрэв халдагч домэйн нэрийн хүсэлт дотор далд мессеж нэмбэл яах вэ? Жишээлбэл, бүрэн хууль ёсны URL оруулахын оронд тэрээр дамжуулахыг хүссэн өгөгдлөө оруулна.
Халдагчид DNS серверийг хянадаг гэж бодъё. Дараа нь энэ нь өгөгдөл, тухайлбал хувийн мэдээллийг дамжуулж, илрүүлэхгүйгээр дамжуулж болно. Эцсийн эцэст, яагаад DNS асуулга гэнэт хууль бус зүйл болж хувирав?
Серверийг удирдсанаар хакерууд хариу үйлдэл хийж, өгөгдлийг зорилтот систем рүү буцааж илгээх боломжтой. Энэ нь тэдэнд DNS-ийн хариу үйлдлийн янз бүрийн талбарт нуугдсан мессежийг халдвар авсан машин дээрх хортой программ руу дамжуулж, тодорхой хавтас дотор хайх гэх мэт зааварчилгаа өгөх боломжийг олгодог.
Энэ дайралтын "хонгил" хэсэг нь
Мөн энэ бол DNS туннел!
DNS туннелийн халдлагын түүх
Бүх зүйл эхлэлтэй, үүнд DNS протоколыг хакердах зорилгоор хулгайлах санаа орно. Бидний хэлж байгаагаар эхнийх нь
2004 он гэхэд DNS туннелингийг Дан Каминскийн илтгэл дээр Black Hat-д хакердах арга болгон нэвтрүүлсэн. Ийнхүү санаа нь маш хурдан жинхэнэ довтолгооны хэрэгсэл болж хувирав.
Өнөөдөр DNS туннел нь газрын зураг дээр итгэлтэй байр суурийг эзэлдэг
талаар сонссон уу
DNS туннелийн аюул
DNS туннел нь муу мэдээний үе шат эхэлж байгааг илтгэхтэй адил юм. Аль нь? Бид хэд хэдэн зүйлийн талаар аль хэдийн ярьсан, гэхдээ тэдгээрийн бүтцийг авч үзье:
- Өгөгдлийн гаралт (нэвчилт) – хакер чухал мэдээллийг DNS-ээр нууцаар дамжуулдаг. Энэ нь бүх зардал, кодчилолуудыг харгалзан хохирогчийн компьютерээс мэдээлэл дамжуулах хамгийн үр дүнтэй арга биш, гэхдээ энэ нь ажилладаг бөгөөд нэгэн зэрэг нууцаар ажилладаг!
- Command and Control (товчилсон C2) – Хакерууд DNS протоколыг ашиглан энгийн удирдлагын командуудыг илгээдэг.
алсаас нэвтрэх троян (Remote Access Trojan, товчилсон RAT). - IP-over-DNS туннел - Энэ нь галзуу мэт санагдаж болох ч DNS протоколын хүсэлт, хариулт дээр IP стекийг хэрэгжүүлдэг хэрэгслүүд байдаг. Энэ нь FTP, Netcat, ssh гэх мэт мэдээллийг ашиглан өгөгдөл дамжуулдаг. харьцангуй энгийн ажил. Маш аймшигтай!
DNS туннелжилтийг илрүүлж байна
DNS-ийг буруугаар ашиглахыг илрүүлэх хоёр үндсэн арга байдаг: ачааллын шинжилгээ ба замын хөдөлгөөний шинжилгээ.
үед ачааллын шинжилгээ Өмгөөлөгч тал нааш цааш илгээсэн өгөгдөлд статистикийн аргаар илрүүлж болох гажуудлыг хайдаг: хачирхалтай харагдах хостын нэр, байнга ашиглагддаггүй DNS бичлэгийн төрөл, эсвэл стандарт бус кодчилол.
үед замын хөдөлгөөний шинжилгээ Домэйн бүрийн DNS хүсэлтийн тоог статистикийн дундажтай харьцуулан тооцдог. DNS туннел ашиглан халдагчид сервер рүү их хэмжээний траффик үүсгэх болно. Онолын хувьд ердийн DNS мессеж солилцохоос хамаагүй дээр. Мөн үүнийг хянах шаардлагатай байна!
DNS туннель хийх хэрэгслүүд
Хэрэв та өөрийн pentest-ээ хийж, танай компани ийм үйл ажиллагааг хэр сайн илрүүлж, хариу үйлдэл үзүүлж чадахыг харахыг хүсвэл үүнд зориулсан хэд хэдэн хэрэгсэл байдаг. Тэд бүгд горимд туннел хийх боломжтой IP-over-DNS:
иод – олон платформ дээр (Linux, Mac OS, FreeBSD болон Windows) ашиглах боломжтой. Зорилтот болон хяналтын компьютеруудын хооронд SSH бүрхүүл суулгах боломжийг танд олгоно. Энэ бол сайн хэрэггарын авлага Иодыг тохируулах, ашиглах талаар.OzymanDNS – Perl хэл дээр бичигдсэн Дан Каминскийн DNS туннелийн төсөл. Та SSH-ээр холбогдож болно.DNSCat2 - "Таныг өвдөхгүй DNS туннель." Файл илгээх/татаж авах, бүрхүүл ажиллуулах гэх мэт шифрлэгдсэн C2 суваг үүсгэдэг.
DNS хяналтын хэрэгслүүд
Хонгилын халдлагыг илрүүлэхэд хэрэг болох хэд хэдэн хэрэгслүүдийн жагсаалтыг доор харуулав.
dnsHunter – MercenaryHuntFramework болон Mercenary-Linux-д зориулагдсан Python модуль. .pcap файлуудыг уншиж, DNS асуулгыг задалж, дүн шинжилгээ хийхэд туслахын тулд газарзүйн байршлын зураглалыг гүйцэтгэдэг.reassemble_dns – .pcap файлуудыг уншиж, DNS мессежүүдэд дүн шинжилгээ хийдэг Python хэрэгсэл.
DNS туннелийн талаарх бичил түгээмэл асуултууд
Асуулт, хариулт хэлбэрээр хэрэгтэй мэдээлэл!
А: Туннель гэж юу вэ?
ТУХАЙ: Энэ нь одоо байгаа протоколоор өгөгдөл дамжуулах энгийн арга юм. Үндсэн протокол нь тусгай суваг эсвэл хонгилоор хангадаг бөгөөд үүнийг дараа нь дамжуулж буй мэдээллийг нуухад ашигладаг.
А: Анхны DNS туннелийн халдлага хэзээ хийгдсэн бэ?
ТУХАЙ: Бид мэдэхгүй! Мэдэж байгаа бол бидэнд мэдэгдээрэй. Бидний мэдэж байгаагаар халдлагын талаар анхны хэлэлцүүлгийг 1998 оны XNUMX-р сард Bugtraq захидлын жагсаалтад Оскар Пирсан санаачилсан.
Асуулт: Ямар халдлага нь DNS туннель хийхтэй төстэй вэ?
ТУХАЙ: DNS нь туннель хийхэд ашиглаж болох цорын ганц протоколоос хол байна. Жишээлбэл, команд ба хяналтын (C2) хортой програм нь харилцааны сувгийг далдлахын тулд HTTP ашигладаг. DNS tunneling-ийн нэгэн адил хакер өөрийн мэдээллээ нуудаг боловч энэ тохиолдолд ердийн вэб хөтчөөс алсын сайт руу нэвтэрч буй урсгал шиг харагдаж байна (халдагчийн удирддаг). Хяналтын программуудыг ойлгохоор тохируулаагүй тохиолдолд үүнийг анзаарахгүй байж магадгүй
Та биднийг DNS туннелийг илрүүлэхэд туслахыг хүсэж байна уу? Манай модулийг үзээрэй
Эх сурвалж: www.habr.com