Terowong DNS menjadikan sistem nama domain sebagai senjata untuk penggodam. DNS pada asasnya ialah buku telefon Internet yang besar. DNS juga merupakan protokol asas yang membolehkan pentadbir menanyakan pangkalan data pelayan DNS. Setakat ini semuanya nampak jelas. Tetapi penggodam licik menyedari bahawa mereka boleh berkomunikasi secara rahsia dengan komputer mangsa dengan menyuntik arahan kawalan dan data ke dalam protokol DNS. Idea ini adalah asas terowong DNS.
Cara terowong DNS berfungsi
Segala-galanya di Internet mempunyai protokol tersendiri. Dan sokongan DNS agak mudah jenis permintaan-tindak balas. Jika anda ingin melihat cara ia berfungsi, anda boleh menjalankan nslookup, alat utama untuk membuat pertanyaan DNS. Anda boleh meminta alamat dengan hanya menyatakan nama domain yang anda minati, contohnya:
Dalam kes kami, protokol bertindak balas dengan alamat IP domain. Dari segi protokol DNS, saya membuat permintaan alamat atau permintaan yang dipanggil. Jenis "A". Terdapat jenis permintaan lain, dan protokol DNS akan bertindak balas dengan set medan data yang berbeza, yang, seperti yang akan kita lihat nanti, boleh dieksploitasi oleh penggodam.
Satu cara atau yang lain, pada terasnya, protokol DNS berkenaan dengan menghantar permintaan kepada pelayan dan responsnya kembali kepada klien. Bagaimana jika penyerang menambah mesej tersembunyi di dalam permintaan nama domain? Sebagai contoh, bukannya memasukkan URL yang sah sepenuhnya, dia akan memasukkan data yang ingin dihantar:
Katakan penyerang mengawal pelayan DNS. Ia kemudiannya boleh menghantar dataβdata peribadi, contohnyaβtanpa perlu dikesan. Lagipun, mengapa pertanyaan DNS tiba-tiba menjadi sesuatu yang tidak sah?
Dengan mengawal pelayan, penggodam boleh memalsukan respons dan menghantar data kembali ke sistem sasaran. Ini membolehkan mereka menghantar mesej yang tersembunyi dalam pelbagai medan respons DNS kepada perisian hasad pada mesin yang dijangkiti, dengan arahan seperti mencari di dalam folder tertentu.
Bahagian "terowong" serangan ini ialah data dan arahan daripada pengesanan oleh sistem pemantauan. Penggodam boleh menggunakan set aksara base32, base64, dsb, atau menyulitkan data. Pengekodan sedemikian akan lulus tanpa dikesan oleh utiliti pengesanan ancaman mudah yang mencari plaintext.
Dan ini adalah terowong DNS!
Sejarah serangan terowong DNS
Segala-galanya mempunyai permulaan, termasuk idea merampas protokol DNS untuk tujuan penggodaman. Setakat yang kita tahu, yang pertama Serangan ini telah dilakukan oleh Oskar Pearson pada senarai mel Bugtraq pada April 1998.
Menjelang 2004, terowong DNS telah diperkenalkan di Black Hat sebagai teknik penggodaman dalam pembentangan oleh Dan Kaminsky. Oleh itu, idea itu dengan cepat berkembang menjadi alat serangan sebenar.
Hari ini, terowong DNS menduduki kedudukan yang yakin pada peta (dan blogger keselamatan maklumat sering diminta menjelaskannya).
Pernahkah anda mendengar tentang ? Ini ialah kempen berterusan oleh kumpulan penjenayah siberβkemungkinan besar tajaan kerajaanβuntuk merampas pelayan DNS yang sah untuk mengubah hala permintaan DNS ke pelayan mereka sendiri. Ini bermakna organisasi akan menerima alamat IP "buruk" yang menunjuk ke halaman web palsu yang dijalankan oleh penggodam, seperti Google atau FedEx. Pada masa yang sama, penyerang akan dapat mendapatkan akaun pengguna dan kata laluan, yang secara tidak sedar akan memasukkannya di tapak palsu tersebut. Ini bukan terowong DNS, tetapi hanya satu lagi akibat malang penggodam yang mengawal pelayan DNS.
Ancaman terowong DNS
Terowong DNS adalah seperti penunjuk permulaan peringkat berita buruk. Yang mana satu? Kami telah membincangkan beberapa perkara, tetapi mari kita susunkannya:
- Output data (exfiltration) β seorang penggodam secara rahsia menghantar data kritikal melalui DNS. Ini pastinya bukan cara paling berkesan untuk memindahkan maklumat daripada komputer mangsa - dengan mengambil kira semua kos dan pengekodan - tetapi ia berfungsi, dan pada masa yang sama - secara rahsia!
- Perintah dan Kawalan (disingkat C2) β penggodam menggunakan protokol DNS untuk menghantar arahan kawalan mudah melalui, katakan, (Trojan Akses Jauh, singkatan RAT).
- Terowong IP-Over-DNS - Ini mungkin kedengaran gila, tetapi terdapat utiliti yang melaksanakan timbunan IP di atas permintaan dan respons protokol DNS. Ia membuat pemindahan data menggunakan FTP, Netcat, ssh, dll. tugas yang agak mudah. Amat menjijikkan!
Mengesan terowong DNS
Terdapat dua kaedah utama untuk mengesan penyalahgunaan DNS: analisis beban dan analisis trafik.
pada analisis beban Pihak yang mempertahankan mencari anomali dalam data yang dihantar berulang-alik yang boleh dikesan melalui kaedah statistik: nama hos yang kelihatan pelik, jenis rekod DNS yang tidak digunakan sekerap atau pengekodan bukan standard.
pada analisis lalu lintas Bilangan permintaan DNS untuk setiap domain dianggarkan berbanding purata statistik. Penyerang menggunakan terowong DNS akan menjana sejumlah besar trafik ke pelayan. Secara teori, jauh lebih baik daripada pertukaran mesej DNS biasa. Dan ini perlu dipantau!
Utiliti terowong DNS
Jika anda ingin menjalankan pentest anda sendiri dan melihat sejauh mana syarikat anda boleh mengesan dan bertindak balas terhadap aktiviti sedemikian, terdapat beberapa utiliti untuk ini. Kesemua mereka boleh terowong dalam mod IP-Over-DNS:
- β tersedia pada banyak platform (Linux, Mac OS, FreeBSD dan Windows). Membolehkan anda memasang cangkerang SSH antara komputer sasaran dan kawalan. Itu yang bagus mengenai penyediaan dan penggunaan Iodin.
- β Projek terowong DNS daripada Dan Kaminsky, ditulis dalam Perl. Anda boleh menyambung kepadanya melalui SSH.
- - "Terowong DNS yang tidak membuat anda sakit." Mencipta saluran C2 yang disulitkan untuk menghantar/memuat turun fail, melancarkan shell, dsb.
Utiliti pemantauan DNS
Di bawah ialah senarai beberapa utiliti yang berguna untuk mengesan serangan terowong:
- β Modul Python ditulis untuk MercenaryHuntFramework dan Mercenary-Linux. Membaca fail .pcap, mengekstrak pertanyaan DNS dan melaksanakan pemetaan geolokasi untuk membantu dalam analisis.
- β utiliti Python yang membaca fail .pcap dan menganalisis mesej DNS.
Soalan Lazim Mikro tentang terowong DNS
Maklumat berguna dalam bentuk soalan dan jawapan!
S: Apakah itu terowong?
TENTANG: Ia hanyalah satu cara untuk memindahkan data melalui protokol sedia ada. Protokol asas menyediakan saluran atau terowong khusus, yang kemudiannya digunakan untuk menyembunyikan maklumat yang sebenarnya dihantar.
S: Bilakah serangan terowong DNS pertama dilakukan?
TENTANG: Kami tidak tahu! Jika anda tahu, sila maklumkan kepada kami. Sepanjang pengetahuan kami, perbincangan pertama mengenai serangan itu telah dimulakan oleh Oscar Piersan dalam senarai mel Bugtraq pada April 1998.
S: Apakah serangan yang serupa dengan terowong DNS?
TENTANG: DNS jauh daripada satu-satunya protokol yang boleh digunakan untuk terowong. Contohnya, perisian hasad perintah dan kawalan (C2) sering menggunakan HTTP untuk menutup saluran komunikasi. Seperti terowong DNS, penggodam menyembunyikan datanya, tetapi dalam kes ini ia kelihatan seperti trafik dari pelayar web biasa yang mengakses tapak jauh (dikawal oleh penyerang). Ini mungkin tidak disedari dengan memantau program jika ia tidak dikonfigurasikan untuk melihat penyalahgunaan protokol HTTP untuk tujuan penggodam.
Adakah anda mahu kami membantu dengan pengesanan terowong DNS? Lihat modul kami dan cuba secara percuma !
Sumber: www.habr.com