Tunnelul DNS transformă sistemul de nume de domeniu într-o armă pentru hackeri. DNS este, în esență, uriașa agendă telefonică a internetului. DNS este, de asemenea, protocolul de bază care permite administratorilor să interogheze baza de date a serverului DNS. Până acum totul pare clar. Dar hackerii vicleni și-au dat seama că pot comunica în secret cu computerul victimei injectând comenzi de control și date în protocolul DNS. Această idee este baza tunelului DNS.
Cum funcționează tunelul DNS
Totul pe Internet are propriul protocol separat. Și suportul DNS este relativ simplu tip cerere-răspuns. Dacă doriți să vedeți cum funcționează, puteți rula nslookup, instrumentul principal pentru a face interogări DNS. Puteți solicita o adresă specificând pur și simplu numele de domeniu care vă interesează, de exemplu:
În cazul nostru, protocolul a răspuns cu adresa IP a domeniului. În ceea ce privește protocolul DNS, am făcut o cerere de adresă sau o așa-zisă cerere. "Un fel. Există și alte tipuri de solicitări, iar protocolul DNS va răspunde cu un set diferit de câmpuri de date, care, după cum vom vedea mai târziu, pot fi exploatate de hackeri.
Într-un fel sau altul, în esență, protocolul DNS se preocupă de transmiterea unei cereri către server și a răspunsului acesteia înapoi către client. Ce se întâmplă dacă un atacator adaugă un mesaj ascuns într-o solicitare de nume de domeniu? De exemplu, în loc să introducă o adresă URL complet legitimă, va introduce datele pe care dorește să le transmită:
Să presupunem că un atacator controlează serverul DNS. Apoi poate transmite date – date personale, de exemplu – fără a fi neapărat detectat. La urma urmei, de ce ar deveni dintr-o dată o interogare DNS ceva ilegitim?
Prin controlul serverului, hackerii pot falsifica răspunsuri și pot trimite date înapoi către sistemul țintă. Acest lucru le permite să transmită mesaje ascunse în diferite câmpuri ale răspunsului DNS la malware-ul de pe mașina infectată, cu instrucțiuni precum căutarea într-un anumit folder.
Partea de „tunelare” a acestui atac este date și comenzi de la detectarea prin sisteme de monitorizare. Hackerii pot folosi seturi de caractere base32, base64 etc. sau chiar pot cripta datele. O astfel de codificare va trece nedetectată de simple utilitare de detectare a amenințărilor care caută textul simplu.
Și acesta este tunelul DNS!
Istoricul atacurilor de tunel DNS
Totul are un început, inclusiv ideea de a deturna protocolul DNS în scopuri de hacking. Din câte putem spune, primul Acest atac a fost efectuat de Oskar Pearson pe lista de corespondență Bugtraq în aprilie 1998.
Până în 2004, tunelul DNS a fost introdus la Black Hat ca tehnică de hacking într-o prezentare a lui Dan Kaminsky. Astfel, ideea a crescut foarte repede într-un adevărat instrument de atac.
Astăzi, tunelul DNS ocupă o poziție sigură pe hartă (și bloggerii de securitate a informațiilor sunt adesea rugați să explice).
Ai auzit despre ? Aceasta este o campanie în curs de desfășurare a unor grupuri cibernetice – cel mai probabil sponsorizate de stat – pentru a deturna servere DNS legitime pentru a redirecționa cererile DNS către propriile servere. Aceasta înseamnă că organizațiile vor primi adrese IP „proaste” care indică către pagini web false conduse de hackeri, cum ar fi Google sau FedEx. În același timp, atacatorii vor putea obține conturi de utilizator și parole, care le vor introduce fără să știe pe astfel de site-uri false. Acesta nu este tunelul DNS, ci doar o altă consecință nefericită a hackerilor care controlează serverele DNS.
Amenințări de tunel DNS
Tunnelul DNS este ca un indicator al începutului etapei veștilor proaste. Care? Am vorbit deja despre mai multe, dar haideți să le structurem:
- Ieșire de date (exfiltrare) – un hacker transmite în secret date critice prin DNS. Aceasta nu este cu siguranță cea mai eficientă modalitate de a transfera informații de pe computerul victimei - ținând cont de toate costurile și codificări - dar funcționează și, în același timp, în secret!
- Comandă și control (abreviat C2) – hackerii folosesc protocolul DNS pentru a trimite comenzi simple de control prin, de exemplu, (Troian de acces la distanță, prescurtat RAT).
- Tunnel IP-Over-DNS - Acest lucru poate suna nebunesc, dar există utilitare care implementează o stivă IP pe deasupra solicitărilor și răspunsurilor protocolului DNS. Face transferul de date folosind FTP, Netcat, ssh etc. o sarcină relativ simplă. Extrem de de rău augur!
Detectarea tunelului DNS
Există două metode principale pentru detectarea abuzului DNS: analiza încărcării și analiza traficului.
la analiza sarcinii Partea în apărare caută anomalii în datele trimise înainte și înapoi care pot fi detectate prin metode statistice: nume de gazdă cu aspect ciudat, un tip de înregistrare DNS care nu este folosit la fel de des sau codare non-standard.
la analiza traficului Numărul de solicitări DNS către fiecare domeniu este estimat în comparație cu media statistică. Atacatorii care folosesc tunelul DNS vor genera o cantitate mare de trafic către server. În teorie, semnificativ superior schimbului normal de mesaje DNS. Și acest lucru trebuie monitorizat!
Utilitare de tunel DNS
Dacă doriți să vă desfășurați propriul pentest și să vedeți cât de bine compania dvs. poate detecta și răspunde la o astfel de activitate, există mai multe utilități pentru aceasta. Toți pot tunel în modul IP-Over-DNS:
- – disponibil pe multe platforme (Linux, Mac OS, FreeBSD și Windows). Vă permite să instalați un shell SSH între computerele țintă și de control. Este unul bun privind configurarea și utilizarea iodului.
- – Proiect de tunel DNS de la Dan Kaminsky, scris în Perl. Vă puteți conecta la el prin SSH.
- - „Un tunel DNS care nu te îmbolnăvește.” Creează un canal C2 criptat pentru trimiterea/descărcarea fișierelor, lansarea shell-urilor etc.
Utilitare de monitorizare DNS
Mai jos este o listă cu mai multe utilitare care vor fi utile pentru detectarea atacurilor de tunel:
- – Modul Python scris pentru MercenaryHuntFramework și Mercenary-Linux. Citește fișierele .pcap, extrage interogări DNS și efectuează maparea locației geografice pentru a ajuta la analiză.
- – un utilitar Python care citește fișierele .pcap și analizează mesajele DNS.
Întrebări frecvente Micro despre tunelul DNS
Informații utile sub formă de întrebări și răspunsuri!
Î: Ce este tunelul?
DESPRE: Este pur și simplu o modalitate de a transfera date printr-un protocol existent. Protocolul de bază oferă un canal sau un tunel dedicat, care este apoi folosit pentru a ascunde informațiile care sunt transmise efectiv.
Î: Când a fost efectuat primul atac de tunel DNS?
DESPRE: Nu știm! Dacă știți, vă rugăm să ne anunțați. Din câte știm, prima discuție despre atac a fost inițiată de Oscar Piersan în lista de corespondență Bugtraq în aprilie 1998.
Î: Ce atacuri sunt similare cu tunelul DNS?
DESPRE: DNS este departe de singurul protocol care poate fi folosit pentru tunelare. De exemplu, programul malware de comandă și control (C2) utilizează adesea HTTP pentru a masca canalul de comunicare. Ca și în cazul tunelului DNS, hackerul își ascunde datele, dar în acest caz arată ca traficul dintr-un browser web obișnuit care accesează un site la distanță (controlat de atacator). Acest lucru poate trece neobservat de programele de monitorizare dacă acestea nu sunt configurate pentru a percepe abuz al protocolului HTTP în scopuri de hacker.
Doriți să vă ajutăm cu detectarea tunelului DNS? Consultați modulul nostru și încercați-l gratuit !
Sursa: www.habr.com