DNS tunneling ဆိုတာဘာလဲ။ ထောက်လှမ်းလမ်းညွှန်ချက်များ

DNS tunneling သည် domain name system ကို ဟက်ကာများအတွက် လက်နက်တစ်ခုအဖြစ် ပြောင်းလဲပေးသည်။ DNS သည် အခြေခံအားဖြင့် အင်တာနက်၏ ကြီးမားသော ဖုန်းစာအုပ်ဖြစ်သည်။ DNS သည် စီမံခန့်ခွဲသူများအား DNS ဆာဗာဒေတာဘေ့စ်ကို မေးမြန်းရန် ခွင့်ပြုသည့် နောက်ခံပရိုတိုကောလည်းဖြစ်သည်။ အခုထိတော့ အားလုံးရှင်းနေပုံရတယ်။ သို့သော် လိမ္မာသောဟက်ကာများသည် DNS ပရိုတိုကောထဲသို့ ထိန်းချုပ်မှုဆိုင်ရာ ညွှန်ကြားချက်များနှင့် အချက်အလက်များကို ထိုးသွင်းခြင်းဖြင့် သားကောင်ကွန်ပျူတာနှင့် လျှို့ဝှက်ဆက်သွယ်နိုင်သည်ကို သဘောပေါက်ခဲ့သည်။ ဤအကြံအစည်သည် DNS tunneling ၏အခြေခံဖြစ်သည်။

DNS tunneling အလုပ်လုပ်ပုံ

အင်တာနက်ပေါ်ရှိအရာအားလုံးတွင်၎င်း၏ကိုယ်ပိုင် သီးခြား protocol ရှိသည်။ ပြီးတော့ DNS ပံ့ပိုးမှုက အတော်လေးရိုးရှင်းပါတယ်။ ပရိုတိုကော တောင်းဆိုချက်-တုံ့ပြန်မှုအမျိုးအစား။ ၎င်းသည်မည်သို့အလုပ်လုပ်သည်ကိုသင်ကြည့်ရှုလိုပါက၊ DNS queries ပြုလုပ်ရန်အဓိကကိရိယာဖြစ်သော nslookup ကိုသင်သုံးနိုင်သည်။ သင်စိတ်ဝင်စားသော ဒိုမိန်းအမည်ကို သတ်မှတ်ရုံဖြင့် လိပ်စာတစ်ခုတောင်းဆိုနိုင်သည်၊ ဥပမာ-

ကျွန်ုပ်တို့၏ကိစ္စတွင်၊ ပရိုတိုကောသည် ဒိုမိန်း IP လိပ်စာဖြင့် တုံ့ပြန်ခဲ့သည်။ DNS ပရိုတိုကောနှင့် ပတ်သက်၍ ကျွန်ုပ်သည် လိပ်စာတောင်းဆိုမှု သို့မဟုတ် တောင်းဆိုချက်တစ်ခု ပြုလုပ်ခဲ့သည်။ "A" အမျိုးအစား။ အခြားသော တောင်းဆိုမှု အမျိုးအစားများ ရှိပြီး DNS protocol သည် မတူညီသော ဒေတာ အကွက်များဖြင့် တုံ့ပြန်လိမ့်မည် ဖြစ်ပြီး၊ နောက်ပိုင်းတွင် ကျွန်ုပ်တို့ မြင်တွေ့ရမည် ဖြစ်သည့်အတိုင်း ဟက်ကာများက အမြတ်ထုတ်နိုင်သည်။

တစ်နည်းမဟုတ်တစ်နည်း၊ ၎င်း၏အဓိကအချက်မှာ၊ DNS ပရိုတိုကောသည် ဆာဗာထံ တောင်းဆိုချက်တစ်ခုပေးပို့ခြင်းနှင့် ၎င်း၏ဖောက်သည်ထံ ပြန်လည်တုံ့ပြန်ခြင်းတို့အတွက် သက်ဆိုင်သည်။ တိုက်ခိုက်သူသည် ဒိုမိန်းအမည်တောင်းဆိုမှုအတွင်း လျှို့ဝှက်စာတိုကို ပေါင်းထည့်ပါက အဘယ်နည်း။ ဥပမာအားဖြင့်၊ လုံးဝတရားဝင်သော URL ကိုမထည့်ဘဲ၊ သူပို့လိုသောဒေတာကို ထည့်သွင်းလိမ့်မည်-

တိုက်ခိုက်သူသည် DNS ဆာဗာကို ထိန်းချုပ်သည်ဆိုပါစို့။ ထို့နောက် ၎င်းသည် မလိုအပ်ဘဲ ဒေတာ—ကိုယ်ရေးကိုယ်တာဒေတာ၊ ဥပမာ—ရှာဖွေတွေ့ရှိနိုင်သည်။ နောက်ဆုံးတွင်၊ DNS query သည် အဘယ်ကြောင့်တရားမ၀င်ဖြစ်သွားသနည်း။

ဆာဗာကို ထိန်းချုပ်ခြင်းဖြင့် ဟက်ကာများသည် တုံ့ပြန်မှုများကို အတုလုပ်ကာ ပစ်မှတ်စနစ်သို့ ဒေတာပြန်ပို့နိုင်သည်။ ၎င်းသည် ၎င်းတို့အား သတ်မှတ်ထားသောဖိုင်တွဲအတွင်း ရှာဖွေခြင်းကဲ့သို့သော ညွှန်ကြားချက်များနှင့်အတူ ကူးစက်ထားသောစက်ရှိ malware ကို DNS တုံ့ပြန်မှု၏ နယ်ပယ်အသီးသီးတွင် ဝှက်ထားသော မက်ဆေ့ချ်များကို ဖြတ်သန်းနိုင်စေပါသည်။

ဤတိုက်ခိုက်မှု၏ "ဥမင်လှိုဏ်ခေါင်း" အပိုင်းဖြစ်သည်။ ဖုံးကွယ်ခြင်း။ စောင့်ကြည့်ရေးစနစ်များဖြင့် ထောက်လှမ်းခြင်းမှ ဒေတာနှင့် အမိန့်ပေးချက်များ။ ဟက်ကာများသည် base32၊ base64 စသည်တို့ကို ဇာတ်ကောင်အစုံများ သို့မဟုတ် ဒေတာကိုပင် ကုဒ်ဝှက်နိုင်သည်။ ထိုသို့သော ကုဒ်ပြောင်းခြင်းသည် လွင်ပြင်စာသားကို ရှာဖွေသည့် ရိုးရှင်းသော ခြိမ်းခြောက်မှု ထောက်လှမ်းခြင်းဆိုင်ရာ ကိရိယာများဖြင့် မတွေ့နိုင်ဘဲ ကျော်သွားမည်ဖြစ်သည်။

၎င်းသည် DNS tunneling ဖြစ်သည်။

DNS ဥမင်လှိုဏ်ခေါင်း တိုက်ခိုက်မှုများ၏ သမိုင်း

ဟက်ကာရည်ရွယ်ချက်အတွက် DNS ပရိုတိုကောကို ပြန်ပေးဆွဲခြင်း အပါအဝင် အရာအားလုံးတွင် အစပြုပါသည်။ ပြောနိုင်သလောက်တော့ ပထမပေါ့။ ဆွေးနွေးမှု ဒီတိုက်ခိုက်မှုကို ၁၉၉၈ ခုနှစ် ဧပြီလမှာ Bugtraq စာပို့စာရင်းမှာ Oskar Pearson က ဆောင်ရွက်ခဲ့တာပါ။

2004 ခုနှစ်တွင် Dan Kaminsky ၏တင်ဆက်မှုတွင် ဟက်ကာနည်းပညာအဖြစ် Black Hat တွင် DNS tunneling ကို စတင်မိတ်ဆက်ခဲ့သည်။ ထို့ကြောင့်၊ စိတ်ကူးသည် အလွန်လျင်မြန်စွာ တကယ့်တိုက်ခိုက်ရေးကိရိယာအဖြစ် ကြီးထွားလာခဲ့သည်။

ယနေ့တွင်၊ DNS tunneling သည် မြေပုံပေါ်တွင် ယုံကြည်စိတ်ချရသော အနေအထားကို သိမ်းပိုက်ထားသည်။ အလားအလာရှိသော ခြိမ်းခြောက်မှုများ (အချက်အလက် လုံခြုံရေး ဘလော့ဂါများကို မကြာခဏ ရှင်းပြခိုင်းသည်)။

မင်းအကြောင်း ကြားဖူးလား။ ပင်လယ်လိပ် ? ၎င်းသည် ၎င်းတို့၏ကိုယ်ပိုင်ဆာဗာများသို့ DNS တောင်းဆိုမှုများကို ပြန်ညွှန်းရန်အတွက် တရားဝင် DNS ဆာဗာများကို အပိုင်စီးရန် ဆိုက်ဘာရာဇ၀တ်မှုဆိုင်ရာ အုပ်စုများ—ဖြစ်နိုင်ဖွယ်ရှိသည့် နိုင်ငံပိုင်ကမကထပြုသည့်—ဖြစ်နိုင်ဖွယ်ရှိသည့် ဆိုက်ဘာရာဇ၀တ်မှုအုပ်စုများမှ ဆက်လက်လုပ်ဆောင်နေသည့် လှုပ်ရှားမှုတစ်ခုဖြစ်သည်။ ဆိုလိုသည်မှာ အဖွဲ့အစည်းများသည် Google သို့မဟုတ် FedEx ကဲ့သို့သော ဟက်ကာများက လုပ်ဆောင်သည့် ဝဘ်စာမျက်နှာအတုများကို ညွှန်ပြနေသည့် "ဆိုး" IP လိပ်စာများကို လက်ခံရရှိမည်ဖြစ်သည်။ တစ်ချိန်တည်းမှာပင်၊ တိုက်ခိုက်သူများသည် အသုံးပြုသူအကောင့်များနှင့် စကားဝှက်များကို ရယူနိုင်မည်ဖြစ်ပြီး၊ ထိုကဲ့သို့သော ဆိုက်အတုများတွင် ၎င်းတို့ကို မသိလိုက်ဘဲ ဝင်ရောက်နိုင်မည်ဖြစ်သည်။ ၎င်းသည် DNS tunneling မဟုတ်ဘဲ DNS ဆာဗာများကို ထိန်းချုပ်သည့် ဟက်ကာများ၏ နောက်ထပ် ကံမကောင်းသည့် အကျိုးဆက်တစ်ခုသာ ဖြစ်သည်။

DNS ဥမင်လှိုင်ခေါင်း ခြိမ်းခြောက်မှုများ

DNS tunneling သည် သတင်းဆိုးအဆင့်၏အစ၏ အညွှန်းတစ်ခုကဲ့သို့ဖြစ်သည်။ ဘယ်တစ်ခုလဲ? တော်တော်များများအကြောင်းပြောပြီးပြီ၊ ဒါပေမယ့် အဲဒါတွေကို တည်ဆောက်ကြည့်ရအောင်။

• ဒေတာအထွက် (exfiltration) - ဟက်ကာတစ်ဦးသည် DNS မှတဆင့် အရေးကြီးသော အချက်အလက်များကို လျှို့ဝှက်ပေးပို့သည်။ ကုန်ကျစရိတ်များနှင့် ကုဒ်နံပါတ်များအားလုံးကို ထည့်သွင်းစဉ်းစားခြင်းမှာ ဤအရာသည် သားကောင်ကွန်ပျူတာမှ အချက်အလက်များ လွှဲပြောင်းရန် အထိရောက်ဆုံးနည်းလမ်းမဟုတ်သော်လည်း ၎င်းသည် တစ်ချိန်တည်းတွင် လျှို့ဝှက်စွာ အလုပ်လုပ်ပါသည်။
• Command and Control (အတိုကောက် C2) - ဟက်ကာများသည် DNS ပရိုတိုကောကို အသုံးပြု၍ ရိုးရှင်းသော ထိန်းချုပ်မှုအမိန့်များကို ပေးပို့ရန်၊ အဝေးမှဝင်ရောက်နိုင်သော ထရိုဂျန် (Remote Access Trojan၊ အတိုကောက် RAT)။
• IP-Over-DNS Tunneling - ၎င်းသည် ရူးသွပ်သည်ဟု ထင်ရသော်လည်း DNS ပရိုတိုကော တောင်းဆိုချက်များနှင့် တုံ့ပြန်မှုများ၏ထိပ်တွင် IP stack တစ်ခုကို အကောင်အထည်ဖော်သည့် utilities များရှိပါသည်။ ၎င်းသည် FTP၊ Netcat၊ ssh စသည်တို့ကို အသုံးပြု၍ ဒေတာလွှဲပြောင်းခြင်းကို ပြုလုပ်သည်။ အတော်လေးရိုးရှင်းတဲ့အလုပ်။ အလွန့်အလွန် ဆိုးရွားလှသည်။

DNS tunneling ကို ထောက်လှမ်းခြင်း။

DNS အလွဲသုံးစားလုပ်ခြင်းကို ထောက်လှမ်းရန် အဓိကနည်းလမ်းနှစ်ခုရှိသည်- load analysis နှင့် traffic analysis ။

တွင် load analysis ခုခံကာကွယ်သည့်အဖွဲ့သည် ကိန်းဂဏန်းဆိုင်ရာနည်းလမ်းများဖြင့် ရှာဖွေတွေ့ရှိနိုင်သည့် ကွဲလွဲသောပုံစံအိမ်ရှင်အမည်များ၊ မကြာခဏအသုံးပြုလေ့မရှိသော DNS မှတ်တမ်းအမျိုးအစား သို့မဟုတ် စံမဟုတ်သော ကုဒ်နံပါတ်ဖြင့် ရှာဖွေတွေ့ရှိနိုင်သည့် ကွဲလွဲမှုများကို ခုခံကာကွယ်သည့်အဖွဲ့မှ ရှာဖွေသည်။

တွင် အသွားအလာခွဲခြမ်းစိတ်ဖြာ ဒိုမိန်းတစ်ခုစီသို့ DNS တောင်းဆိုမှုအရေအတွက်ကို စာရင်းအင်းဆိုင်ရာ ပျမ်းမျှနှင့် နှိုင်းယှဉ်ခန့်မှန်းထားသည်။ DNS tunneling ကို အသုံးပြု၍ တိုက်ခိုက်သူများသည် ဆာဗာသို့ လမ်းကြောင်းများစွာကို ထုတ်ပေးမည်ဖြစ်သည်။ သီအိုရီအရ၊ ပုံမှန် DNS message ဖလှယ်ခြင်းထက် သိသိသာသာ သာလွန်သည်။ ပြီးတော့ ဒါကို စောင့်ကြည့်ဖို့ လိုတယ်။

DNS ဥမင်လိုဏ်ခေါင်း အသုံးဝင်မှုများ

သင်၏ကိုယ်ပိုင် pentest ကိုလုပ်ဆောင်ပြီး သင့်ကုမ္ပဏီသည် ထိုကဲ့သို့သောလုပ်ဆောင်ချက်ကို မည်မျှကောင်းစွာသိရှိပြီး တုံ့ပြန်နိုင်သည်ကိုကြည့်လိုပါက၊ ၎င်းအတွက် အသုံးဝင်မှုများစွာရှိပါသည်။ ၎င်းတို့အားလုံးသည် မုဒ်တွင် ဥမင်လိုဏ်ခေါင်းများ ပြုလုပ်နိုင်သည်။ IP-Over-DNS:

• တင်ချာအိုင်ဒင်း - များစွာသောပလပ်ဖောင်းများ (Linux၊ Mac OS၊ FreeBSD နှင့် Windows) တွင်ရနိုင်သည်။ ပစ်မှတ်နှင့် ထိန်းချုပ်သည့် ကွန်ပျူတာများကြားတွင် SSH shell တစ်ခုကို တပ်ဆင်ခွင့်ပြုသည်။ အဲဒါကောင်းတယ်။ လမ်းပြ အိုင်အိုဒင်း တပ်ဆင်ခြင်းနှင့် အသုံးပြုခြင်းတွင်။
• OzymanDNS - Perl ဖြင့်ရေးသားထားသော Dan Kaminsky မှ DNS လှိုင်ခေါင်းစီမံကိန်း။ ၎င်းကို SSH မှတဆင့် သင်ချိတ်ဆက်နိုင်သည်။
• DNSCat2 - "သင့်ကို မနာမကျန်းဖြစ်စေသော DNS လိုဏ်ခေါင်း။" ဖိုင်များ ပေးပို့ခြင်း၊ ဒေါင်းလုဒ်လုပ်ခြင်း၊ shells ကိုဖွင့်ခြင်း စသည်တို့အတွက် ကုဒ်ဝှက်ထားသော C2 ချန်နယ်ကို ဖန်တီးပေးသည်။

DNS စောင့်ကြည့်ရေးကိရိယာများ

အောက်တွင် ဥမင်လှိုဏ်ခေါင်းဖောက်ခြင်း တိုက်ခိုက်မှုများကို ရှာဖွေတွေ့ရှိရန် အသုံးဝင်မည့် အသုံးအဆောင်များစွာကို အောက်တွင် ဖော်ပြထားပါသည်။

• dnsHunter - MercenaryHuntFramework နှင့် Mercenary-Linux အတွက်ရေးထားသော Python module။ .pcap ဖိုင်များကိုဖတ်သည်၊ DNS မေးမြန်းချက်များကို ထုတ်ယူပြီး ခွဲခြမ်းစိတ်ဖြာမှုတွင် အထောက်အကူဖြစ်စေရန်အတွက် ဘူမိတည်နေရာမြေပုံကို လုပ်ဆောင်သည်။
• reassemble_dns - .pcap ဖိုင်များကိုဖတ်ပြီး DNS မက်ဆေ့ချ်များကိုခွဲခြမ်းစိတ်ဖြာသည့် Python utility တစ်ခု။

DNS tunneling အတွက် Micro FAQ

အမေးအဖြေပုံစံဖြင့် အသုံးဝင်သော အချက်အလက်။

မေး- ဥမင်လိုဏ်ခေါင်းဆိုတာ ဘာလဲ။
အကြောင်း: ၎င်းသည် လက်ရှိပရိုတိုကောတစ်ခုထက် ဒေတာလွှဲပြောင်းရန် ရိုးရှင်းသောနည်းလမ်းတစ်ခုဖြစ်သည်။ နောက်ခံပရိုတိုကောသည် သီးသန့်ချန်နယ် သို့မဟုတ် ဥမင်လိုဏ်ခေါင်းတစ်ခုကို ပံ့ပိုးပေးသည်၊ ထို့နောက် အမှန်တကယ်ပေးပို့နေသည့် အချက်အလက်ကို ဖုံးကွယ်ရန်အတွက် အသုံးပြုသည်။

မေး- ပထမဆုံး DNS tunneling တိုက်ခိုက်မှုကို ဘယ်အချိန်မှာ လုပ်ဆောင်ခဲ့တာလဲ။
အကြောင်း: ငါတို့မသိဘူး! သင်သိပါက ကျေးဇူးပြု၍ ကျွန်ုပ်တို့အား အသိပေးပါ။ ကျွန်ုပ်တို့၏ အသိဥာဏ်အကောင်းဆုံးအတွက်၊ တိုက်ခိုက်မှု၏ပထမဆုံးဆွေးနွေးချက်ကို Bugtraq ပေးပို့စာရင်းတွင် ၁၉၉၈ ခုနှစ် ဧပြီလတွင် Oscar Piersan မှ စတင်ခဲ့ပါသည်။

မေး- ဘယ်လိုတိုက်ခိုက်မှုတွေက DNS tunneling နဲ့ ဆင်တူလဲ။
အကြောင်း: DNS သည် tunneling အတွက် သုံးနိုင်သော တစ်ခုတည်းသော ပရိုတိုကောနှင့် ဝေးသည်။ ဥပမာအားဖြင့်၊ command and control (C2) malware သည် ဆက်သွယ်ရေးလမ်းကြောင်းကိုဖုံးကွယ်ရန် HTTP ကိုအသုံးပြုလေ့ရှိသည်။ DNS tunneling ကဲ့သို့ပင်၊ ဟက်ကာသည် ၎င်း၏ဒေတာကို ဝှက်ထားသော်လည်း၊ ဤအခြေအနေတွင်၊ အဝေးထိန်းဆိုက် (တိုက်ခိုက်သူမှ ထိန်းချုပ်ထားသော ပုံမှန်ဝဘ်ဘရောက်ဆာတစ်ခုမှ ဝင်ရောက်ခြင်း) မှ အသွားအလာပုံရသည်။ ၎င်းတို့သည် ရိပ်မိရန် စီစဉ်ထားခြင်းမရှိပါက စောင့်ကြည့်ရေးပရိုဂရမ်များက ၎င်းကို သတိမပြုမိနိုင်ပေ။ ခြိမ်းခြောက်မှု ဟက်ကာရည်ရွယ်ချက်အတွက် HTTP ပရိုတိုကောကို အလွဲသုံးစားလုပ်ခြင်း။

DNS tunnel ရှာဖွေခြင်းတွင် ကျွန်ုပ်တို့အား ကူညီစေလိုပါသလား။ ကျွန်ုပ်တို့၏ module ကိုစစ်ဆေးပါ။ Varonis Edge အခမဲ့စမ်းကြည့်ပါ။ သရုပ်ပြ!

source: www.habr.com