DNS туннел нь домэйн нэрийн системийг хакеруудын зэвсэг болгон хувиргадаг. DNS бол үндсэндээ интернетийн асар том утасны дэвтэр юм. DNS нь мөн администраторуудад DNS серверийн мэдээллийн сангаас лавлагаа авах боломжийг олгодог үндсэн протокол юм. Одоогоор бүх зүйл тодорхой харагдаж байна. Гэвч зальтай хакерууд DNS протоколд хяналтын командууд болон өгөгдөл оруулах замаар хохирогчийн компьютертэй нууцаар харилцаж чадна гэдгээ ойлгосон. Энэ санаа нь DNS туннелийн үндэс суурь юм.
DNS туннель хэрхэн ажилладаг
Интернет дээр байгаа бүх зүйл өөрийн гэсэн тусдаа протоколтой байдаг. Мөн DNS дэмжлэг нь харьцангуй энгийн хүсэлт-хариултын төрөл. Хэрэв та энэ хэрхэн ажилладагийг харахыг хүсвэл DNS асуулга хийх үндсэн хэрэгсэл болох nslookup-г ажиллуулж болно. Та сонирхож буй домэйн нэрээ зааж өгснөөр хаяг хүсэх боломжтой, жишээ нь:
Манай тохиолдолд протокол нь домэйны IP хаягаар хариу өгсөн. DNS протоколын хувьд би хаягийн хүсэлт эсвэл хүсэлт гэж нэрлэгддэг хүсэлт гаргасан. "А" төрөл. Өөр төрлийн хүсэлтүүд байдаг бөгөөд DNS протокол нь өөр өөр өгөгдлийн талбаруудаар хариу үйлдэл үзүүлэх бөгөөд үүнийг бид дараа нь харах болно, хакерууд үүнийг ашиглаж болно.
Ямар нэг байдлаар DNS протокол нь хүсэлтийг сервер рүү дамжуулах, түүний хариуг үйлчлүүлэгч рүү буцааж өгөхтэй холбоотой байдаг. Хэрэв халдагч домэйн нэрийн хүсэлт дотор далд мессеж нэмбэл яах вэ? Жишээлбэл, бүрэн хууль ёсны URL оруулахын оронд тэрээр дамжуулахыг хүссэн өгөгдлөө оруулна.
Халдагчид DNS серверийг хянадаг гэж бодъё. Дараа нь энэ нь өгөгдөл, тухайлбал хувийн мэдээллийг дамжуулж, илрүүлэхгүйгээр дамжуулж болно. Эцсийн эцэст, яагаад DNS асуулга гэнэт хууль бус зүйл болж хувирав?
Серверийг удирдсанаар хакерууд хариу үйлдэл хийж, өгөгдлийг зорилтот систем рүү буцааж илгээх боломжтой. Энэ нь тэдэнд DNS-ийн хариу үйлдлийн янз бүрийн талбарт нуугдсан мессежийг халдвар авсан машин дээрх хортой программ руу дамжуулж, тодорхой хавтас дотор хайх гэх мэт зааварчилгаа өгөх боломжийг олгодог.
Энэ дайралтын "хонгил" хэсэг нь хяналтын системээр илрүүлсэн өгөгдөл болон тушаалууд. Хакерууд base32, base64 гэх мэт тэмдэгтүүдийг ашиглах эсвэл бүр өгөгдлийг шифрлэх боломжтой. Ийм кодчилол нь энгийн текстийг хайдаг аюул илрүүлэх хэрэгсэлд илрэхгүй өнгөрөх болно.
Мөн энэ бол DNS туннел!
DNS туннелийн халдлагын түүх
Бүх зүйл эхлэлтэй, үүнд DNS протоколыг хакердах зорилгоор хулгайлах санаа орно. Бидний хэлж байгаагаар эхнийх нь Энэ халдлагыг 1998 оны XNUMX-р сард Bugtraq захидлын жагсаалтад Оскар Пирсон хийсэн.
2004 он гэхэд DNS туннелингийг Дан Каминскийн илтгэл дээр Black Hat-д хакердах арга болгон нэвтрүүлсэн. Ийнхүү санаа нь маш хурдан жинхэнэ довтолгооны хэрэгсэл болж хувирав.
Өнөөдөр DNS туннел нь газрын зураг дээр итгэлтэй байр суурийг эзэлдэг (мөн мэдээллийн аюулгүй байдлын блогчид үүнийг тайлбарлахыг ихэвчлэн хүсдэг).
талаар сонссон уу ? Энэ бол кибер гэмт хэргийн бүлгүүдийн DNS хүсэлтийг өөрсдийн сервер рүү дахин чиглүүлэхийн тулд хууль ёсны DNS серверүүдийг хулгайлах зорилгоор төрийн ивээн тэтгэсэн байж болзошгүй кампанит ажил юм. Энэ нь байгууллагууд Google эсвэл FedEx зэрэг хакеруудын ажиллуулдаг хуурамч вэб хуудас руу чиглэсэн "муу" IP хаягийг хүлээн авна гэсэн үг юм. Үүний зэрэгцээ халдагчид ийм хуурамч сайтууд дээр өөрийн мэдэлгүй хэрэглэгчийн бүртгэл, нууц үгээ олж авах боломжтой болно. Энэ бол DNS туннел биш, харин DNS серверүүдийг хянадаг хакеруудын бас нэг харамсалтай үр дагавар юм.
DNS туннелийн аюул
DNS туннел нь муу мэдээний үе шат эхэлж байгааг илтгэхтэй адил юм. Аль нь? Бид хэд хэдэн зүйлийн талаар аль хэдийн ярьсан, гэхдээ тэдгээрийн бүтцийг авч үзье:
- Өгөгдлийн гаралт (нэвчилт) – хакер чухал мэдээллийг DNS-ээр нууцаар дамжуулдаг. Энэ нь бүх зардал, кодчилолуудыг харгалзан хохирогчийн компьютерээс мэдээлэл дамжуулах хамгийн үр дүнтэй арга биш, гэхдээ энэ нь ажилладаг бөгөөд нэгэн зэрэг нууцаар ажилладаг!
- Command and Control (товчилсон C2) – Хакерууд DNS протоколыг ашиглан энгийн удирдлагын командуудыг илгээдэг. (Remote Access Trojan, товчилсон RAT).
- IP-over-DNS туннел - Энэ нь галзуу мэт санагдаж болох ч DNS протоколын хүсэлт, хариулт дээр IP стекийг хэрэгжүүлдэг хэрэгслүүд байдаг. Энэ нь FTP, Netcat, ssh гэх мэт мэдээллийг ашиглан өгөгдөл дамжуулдаг. харьцангуй энгийн ажил. Маш аймшигтай!
DNS туннелжилтийг илрүүлж байна
DNS-ийг буруугаар ашиглахыг илрүүлэх хоёр үндсэн арга байдаг: ачааллын шинжилгээ ба замын хөдөлгөөний шинжилгээ.
үед ачааллын шинжилгээ Өмгөөлөгч тал нааш цааш илгээсэн өгөгдөлд статистикийн аргаар илрүүлж болох гажуудлыг хайдаг: хачирхалтай харагдах хостын нэр, байнга ашиглагддаггүй DNS бичлэгийн төрөл, эсвэл стандарт бус кодчилол.
үед замын хөдөлгөөний шинжилгээ Домэйн бүрийн DNS хүсэлтийн тоог статистикийн дундажтай харьцуулан тооцдог. DNS туннел ашиглан халдагчид сервер рүү их хэмжээний траффик үүсгэх болно. Онолын хувьд ердийн DNS мессеж солилцохоос хамаагүй дээр. Мөн үүнийг хянах шаардлагатай байна!
DNS туннель хийх хэрэгслүүд
Хэрэв та өөрийн pentest-ээ хийж, танай компани ийм үйл ажиллагааг хэр сайн илрүүлж, хариу үйлдэл үзүүлж чадахыг харахыг хүсвэл үүнд зориулсан хэд хэдэн хэрэгсэл байдаг. Тэд бүгд горимд туннел хийх боломжтой IP-over-DNS:
- – олон платформ дээр (Linux, Mac OS, FreeBSD болон Windows) ашиглах боломжтой. Зорилтот болон хяналтын компьютеруудын хооронд SSH бүрхүүл суулгах боломжийг танд олгоно. Энэ бол сайн хэрэг Иодыг тохируулах, ашиглах талаар.
- – Perl хэл дээр бичигдсэн Дан Каминскийн DNS туннелийн төсөл. Та SSH-ээр холбогдож болно.
- - "Таныг өвдөхгүй DNS туннель." Файл илгээх/татаж авах, бүрхүүл ажиллуулах гэх мэт шифрлэгдсэн C2 суваг үүсгэдэг.
DNS хяналтын хэрэгслүүд
Хонгилын халдлагыг илрүүлэхэд хэрэг болох хэд хэдэн хэрэгслүүдийн жагсаалтыг доор харуулав.
- – MercenaryHuntFramework болон Mercenary-Linux-д зориулагдсан Python модуль. .pcap файлуудыг уншиж, DNS асуулгыг задалж, дүн шинжилгээ хийхэд туслахын тулд газарзүйн байршлын зураглалыг гүйцэтгэдэг.
- – .pcap файлуудыг уншиж, DNS мессежүүдэд дүн шинжилгээ хийдэг Python хэрэгсэл.
DNS туннелийн талаарх бичил түгээмэл асуултууд
Асуулт, хариулт хэлбэрээр хэрэгтэй мэдээлэл!
А: Туннель гэж юу вэ?
ТУХАЙ: Энэ нь одоо байгаа протоколоор өгөгдөл дамжуулах энгийн арга юм. Үндсэн протокол нь тусгай суваг эсвэл хонгилоор хангадаг бөгөөд үүнийг дараа нь дамжуулж буй мэдээллийг нуухад ашигладаг.
А: Анхны DNS туннелийн халдлага хэзээ хийгдсэн бэ?
ТУХАЙ: Бид мэдэхгүй! Мэдэж байгаа бол бидэнд мэдэгдээрэй. Бидний мэдэж байгаагаар халдлагын талаар анхны хэлэлцүүлгийг 1998 оны XNUMX-р сард Bugtraq захидлын жагсаалтад Оскар Пирсан санаачилсан.
Асуулт: Ямар халдлага нь DNS туннель хийхтэй төстэй вэ?
ТУХАЙ: DNS нь туннель хийхэд ашиглаж болох цорын ганц протоколоос хол байна. Жишээлбэл, команд ба хяналтын (C2) хортой програм нь харилцааны сувгийг далдлахын тулд HTTP ашигладаг. DNS tunneling-ийн нэгэн адил хакер өөрийн мэдээллээ нуудаг боловч энэ тохиолдолд ердийн вэб хөтчөөс алсын сайт руу нэвтэрч буй урсгал шиг харагдаж байна (халдагчийн удирддаг). Хяналтын программуудыг ойлгохоор тохируулаагүй тохиолдолд үүнийг анзаарахгүй байж магадгүй хакерын зорилгоор HTTP протоколыг урвуулан ашиглах.
Та биднийг DNS туннелийг илрүүлэхэд туслахыг хүсэж байна уу? Манай модулийг үзээрэй мөн үүнийг үнэгүй туршиж үзээрэй !
Эх сурвалж: www.habr.com