DNS tunneling jibdel is-sistema tal-isem tad-dominju f'arma għall-hackers. Id-DNS huwa essenzjalment il-ktieb tat-telefon enormi tal-Internet. Id-DNS huwa wkoll il-protokoll sottostanti li jippermetti lill-amministraturi li jfittxu d-database tas-server DNS. S'issa kollox jidher ċar. Iżda hackers għaqlin indunaw li setgħu jikkomunikaw b'mod sigriet mal-kompjuter vittma billi jinjettaw kmandi ta 'kontroll u data fil-protokoll DNS. Din l-idea hija l-bażi tad-DNS tunneling.
Kif jaħdem id-DNS tunneling
Kollox fuq l-Internet għandu l-protokoll separat tiegħu stess. U l-appoġġ tad-DNS huwa relattivament sempliċi tip ta' talba-rispons. Jekk trid tara kif taħdem, tista 'taħdem nslookup, l-għodda ewlenija biex tagħmel mistoqsijiet DNS. Tista' titlob indirizz billi sempliċement tispeċifika l-isem tad-dominju li inti interessat fih, pereżempju:
Fil-każ tagħna, il-protokoll irrisponda bl-indirizz IP tad-dominju. F'termini tal-protokoll DNS, għamilt talba għall-indirizz jew l-hekk imsejħa talba. Tip "A". Hemm tipi oħra ta 'talbiet, u l-protokoll DNS se jirrispondi b'sett differenti ta' oqsma tad-dejta, li, kif se naraw aktar tard, jistgħu jiġu sfruttati mill-hackers.
B'xi mod jew ieħor, fil-qalba tiegħu, il-protokoll DNS huwa kkonċernat bit-trażmissjoni ta 'talba lis-server u r-rispons tagħha lura lill-klijent. X'jiġri jekk attakkant iżid messaġġ moħbi f'talba għal isem ta 'dominju? Pereżempju, minflok ma jdaħħal URL kompletament leġittimu, se jdaħħal id-dejta li jrid jittrasmetti:
Ejja ngħidu li attakkant jikkontrolla s-server DNS. Imbagħad jista' jittrasmetti data—data personali, pereżempju—mingħajr ma neċessarjament tiġi skoperta. Wara kollox, għaliex mistoqsija DNS f'daqqa waħda ssir xi ħaġa illeġittima?
Billi jikkontrollaw is-server, il-hackers jistgħu jsawru tweġibiet u jibagħtu d-dejta lura lis-sistema fil-mira. Dan jippermettilhom jgħaddu messaġġi moħbija f'diversi oqsma tar-rispons tad-DNS għall-malware fuq il-magna infettata, bi struzzjonijiet bħal tfittxija ġewwa folder speċifiku.
Il-parti "tunneling" ta 'dan l-attakk hija data u kmandi minn skoperta minn sistemi ta' monitoraġġ. Il-hackers jistgħu jużaw settijiet ta' karattri base32, base64, eċċ, jew saħansitra jikkriptaw id-data. Tali kodifikazzjoni se tgħaddi mhux misjuba minn utilitajiet sempliċi ta 'skoperta ta' theddid li jfittxu t-test sempliċi.
U dan huwa tunneling DNS!
Storja ta' attakki ta' tunneling DNS
Kollox għandu bidu, inkluża l-idea ta 'ħtif tal-protokoll DNS għal skopijiet ta' hacking. Sa fejn nistgħu ngħidu, l-ewwel Dan l-attakk sar minn Oskar Pearson fuq il-lista tal-posta tal-Bugtraq f’April tal-1998.
Sal-2004, id-DNS tunneling ġie introdott f'Black Hat bħala teknika ta' hacking fi preżentazzjoni minn Dan Kaminsky. Għalhekk, l-idea malajr ħafna kibret f'għodda ta 'attakk reali.
Illum, id-DNS tunneling jokkupa pożizzjoni kunfidenti fuq il-mappa (u l-bloggers tas-sigurtà tal-informazzjoni spiss jintalbu jispjegawha).
Smajt dwar ? Din hija kampanja kontinwa minn gruppi ċiberkriminali—x’aktarx sponsorjati mill-istat—biex jaħtfu servers DNS leġittimi sabiex jerġgħu jidderieġu t-talbiet tad-DNS lejn is-servers tagħhom stess. Dan ifisser li l-organizzazzjonijiet se jirċievu indirizzi IP "ħżiena" li jindikaw paġni tal-web foloz immexxija minn hackers, bħal Google jew FedEx. Fl-istess ħin, l-attakkanti jkunu jistgħu jiksbu kontijiet tal-utent u passwords, li mingħajr ma jkunu jafu jdaħħluhom fuq siti foloz bħal dawn. Dan mhuwiex tunneling DNS, iżda biss konsegwenza sfortunata oħra ta 'hackers li jikkontrollaw servers DNS.
Theddid ta' tunneling DNS
DNS tunneling huwa bħal indikatur tal-bidu tal-istadju tal-aħbarijiet ħżiena. Liema? Diġà tkellimna dwar diversi, imma ejja nistrutturawhom:
- Output tad-dejta (esfiltrazzjoni) – hacker jittrasmetti b'mod sigriet data kritika fuq DNS. Dan żgur mhuwiex l-aktar mod effiċjenti biex tittrasferixxi l-informazzjoni mill-kompjuter vittma - b'kont meħud tal-ispejjeż u l-kodifikazzjonijiet kollha - iżda taħdem, u fl-istess ħin - b'mod sigriet!
- Kmand u Kontroll (imqassar C2) – il-hackers jużaw il-protokoll DNS biex jibagħtu kmandi sempliċi ta’ kontroll permezz, ngħidu aħna, (Remote Access Trojan, imqassar RAT).
- Tunneling IP-Over-DNS - Dan jista 'ħoss crazy, iżda hemm utilitajiet li jimplimentaw munzell IP fuq quċċata ta' talbiet protokoll DNS u tweġibiet. Jagħmel trasferiment tad-dejta bl-użu ta 'FTP, Netcat, ssh, eċċ. kompitu relattivament sempliċi. Estremament ominous!
Tiskopri DNS tunneling
Hemm żewġ metodi ewlenin biex jiġi identifikat l-abbuż tad-DNS: analiżi tat-tagħbija u analiżi tat-traffiku.
Fuq analiżi tat-tagħbija Il-parti li qed tiddefendi tfittex anomaliji fid-dejta mibgħuta 'l quddiem u lura li jistgħu jiġu skoperti permezz ta' metodi statistiċi: ismijiet ta 'host li jidhru strambi, tip ta' rekord DNS li ma jintużax spiss, jew kodifikazzjoni mhux standard.
Fuq analiżi tat-traffiku In-numru ta' talbiet DNS lil kull dominju huwa stmat meta mqabbel mal-medja statistika. L-attakkanti li jużaw tunneling DNS se jiġġeneraw ammont kbir ta 'traffiku lejn is-server. Fit-teorija, superjuri b'mod sinifikanti għall-iskambju normali ta 'messaġġi DNS. U dan jeħtieġ li jiġi ssorveljat!
Utilitajiet ta' tunneling DNS
Jekk trid twettaq il-pentest tiegħek stess u tara kemm il-kumpanija tiegħek tista 'tiskopri u tirrispondi għal attività bħal din, hemm diversi utilitajiet għal dan. Kollha kemm huma jistgħu mina fil-mod IP-Over-DNS:
- – disponibbli fuq ħafna pjattaformi (Linux, Mac OS, FreeBSD u Windows). Jippermettilek tinstalla qoxra SSH bejn il-kompjuters fil-mira u l-kontroll. Dik hija waħda tajba dwar it-twaqqif u l-użu tal-Jodju.
- – Proġett ta' tunneling DNS minn Dan Kaminsky, miktub bil-Perl. Tista' tikkonnettja miegħu permezz ta' SSH.
- - "Mina DNS li ma timradx." Joħloq kanal C2 encrypted biex jibgħat/tniżżil fajls, tnedija qxur, eċċ.
Utilitajiet ta' monitoraġġ tad-DNS
Hawn taħt hawn lista ta 'diversi utilitajiet li se jkunu utli biex jinstabu attakki ta' tunneling:
- – Modulu Python miktub għal MercenaryHuntFramework u Mercenary-Linux. Jaqra fajls .pcap, estratti mistoqsijiet DNS u jwettaq mapping tal-ġeolokazzjoni biex jgħin fl-analiżi.
- – utilità Python li taqra fajls .pcap u tanalizza messaġġi DNS.
Mikro FAQ dwar DNS tunneling
Informazzjoni utli fil-forma ta 'mistoqsijiet u tweġibiet!
Q: X'inhu tunneling?
DWAR: Huwa sempliċiment mod kif tittrasferixxi data fuq protokoll eżistenti. Il-protokoll sottostanti jipprovdi kanal jew mina dedikat, li mbagħad jintuża biex jaħbi l-informazzjoni li fil-fatt tiġi trażmessa.
Q: Meta sar l-ewwel attakk ta' tunneling DNS?
DWAR: Ma nafux! Jekk taf, jekk jogħġbok għarrafna. Sa fejn nafu, l-ewwel diskussjoni tal-attakk inbdiet minn Oscar Piersan fil-lista tal-posta tal-Bugtraq f’April tal-1998.
Q: Liema attakki huma simili għal DNS tunneling?
DWAR: DNS huwa 'l bogħod mill-uniku protokoll li jista' jintuża għall-mini. Pereżempju, malware ta' kmand u kontroll (C2) spiss juża HTTP biex jaħbi l-kanal ta' komunikazzjoni. Bħal fil-mini DNS, il-hacker jaħbi d-dejta tiegħu, iżda f'dan il-każ jidher qisu traffiku minn web browser regolari li jaċċessa sit remot (ikkontrollat mill-attakkant). Dan jista 'jmur inosservat mill-programmi ta' monitoraġġ jekk ma jkunux konfigurati biex jipperċepixxu abbuż tal-protokoll HTTP għal skopijiet ta' hacker.
Tixtieq li ngħinu fl-iskoperta tal-mina DNS? Iċċekkja l-modulu tagħna u pprovaha b'xejn !
Sors: www.habr.com