Tuneli DNS e kthen sistemin e emrave të domenit në një armë për hakerat. DNS është në thelb libri i madh telefonik i Internetit. DNS është gjithashtu protokolli themelor që lejon administratorët të kërkojnë bazën e të dhënave të serverit DNS. Deri tani gjithçka duket e qartë. Por hakerët dinakë kuptuan se mund të komunikonin fshehurazi me kompjuterin e viktimës duke injektuar komandat e kontrollit dhe të dhënat në protokollin DNS. Kjo ide është baza e tunelit DNS.
Si funksionon tuneli DNS
Çdo gjë në internet ka protokollin e vet të veçantë. Dhe mbështetja DNS është relativisht e thjeshtë lloji kërkesë-përgjigje. Nëse dëshironi të shihni se si funksionon, mund të ekzekutoni nslookup, mjetin kryesor për të bërë pyetje DNS. Ju mund të kërkoni një adresë thjesht duke specifikuar emrin e domenit që ju intereson, për shembull:
Në rastin tonë, protokolli u përgjigj me adresën IP të domenit. Përsa i përket protokollit DNS, kam bërë një kërkesë adrese ose një të ashtuquajtur kërkesë. Lloji "A". Ka lloje të tjera kërkesash dhe protokolli DNS do të përgjigjet me një grup të ndryshëm fushash të dhënash, të cilat, siç do të shohim më vonë, mund të shfrytëzohen nga hakerat.
Në një mënyrë apo tjetër, në thelbin e tij, protokolli DNS ka të bëjë me transmetimin e një kërkese në server dhe përgjigjen e tij përsëri te klienti. Po sikur një sulmues të shtojë një mesazh të fshehur brenda një kërkese për emrin e domain? Për shembull, në vend që të fusë një URL plotësisht legjitime, ai do të fusë të dhënat që dëshiron të transmetojë:
Le të themi se një sulmues kontrollon serverin DNS. Më pas mund të transmetojë të dhëna - për shembull të dhëna personale - pa u zbuluar domosdoshmërisht. Në fund të fundit, pse një pyetje DNS do të bëhej papritur diçka e paligjshme?
Duke kontrolluar serverin, hakerët mund të falsifikojnë përgjigjet dhe të dërgojnë të dhëna përsëri në sistemin e synuar. Kjo i lejon ata të kalojnë mesazhe të fshehura në fusha të ndryshme të përgjigjes DNS ndaj malware në makinën e infektuar, me udhëzime të tilla si kërkimi brenda një dosjeje specifike.
Pjesa “tuneling” e këtij sulmi është të dhënat dhe komandat nga zbulimi nga sistemet e monitorimit. Hakerët mund të përdorin grupe karakteresh base32, base64, etj., apo edhe të enkriptojnë të dhënat. Një kodim i tillë do të kalojë i pazbuluar nga mjetet e thjeshta të zbulimit të kërcënimeve që kërkojnë tekstin e thjeshtë.
Dhe ky është tunelizimi DNS!
Historia e sulmeve të tunelit DNS
Gjithçka ka një fillim, duke përfshirë idenë e rrëmbimit të protokollit DNS për qëllime hakerimi. Me sa mund të themi, i pari Ky sulm u krye nga Oskar Pearson në listën e postimeve të Bugtraq në prill 1998.
Deri në vitin 2004, tunelizimi DNS u prezantua në Black Hat si një teknikë hakerimi në një prezantim nga Dan Kaminsky. Kështu, ideja u rrit shumë shpejt në një mjet të vërtetë sulmi.
Sot, tunelizimi DNS zë një pozicion të sigurt në hartë (dhe blogerëve të sigurisë së informacionit shpesh u kërkohet ta shpjegojnë atë).
A keni dëgjuar për ? Kjo është një fushatë e vazhdueshme nga grupet kriminale kibernetike - me shumë mundësi të sponsorizuara nga shteti - për të rrëmbyer serverët legjitimë DNS në mënyrë që të ridrejtojnë kërkesat DNS në serverët e tyre. Kjo do të thotë që organizatat do të marrin adresa IP "të këqija" që tregojnë faqet e rreme të internetit të drejtuara nga hakerat, si Google ose FedEx. Në të njëjtën kohë, sulmuesit do të mund të marrin llogari të përdoruesve dhe fjalëkalime, të cilët do t'i fusin pa vetëdije në sajte të tilla false. Ky nuk është tunelizimi DNS, por vetëm një pasojë tjetër fatkeqe e hakerëve që kontrollojnë serverët DNS.
Kërcënimet e tunelit DNS
Tuneli DNS është si një tregues i fillimit të fazës së lajmeve të këqija. Cilet? Ne kemi folur tashmë për disa, por le t'i strukturojmë ato:
- Dalja e të dhënave (ekfiltrimi) – një haker transmeton fshehurazi të dhëna kritike mbi DNS. Kjo nuk është padyshim mënyra më efikase për të transferuar informacion nga kompjuteri i viktimës - duke marrë parasysh të gjitha kostot dhe kodimet - por funksionon, dhe në të njëjtën kohë - fshehurazi!
- Komanda dhe kontrolli (shkurtuar C2) – Hakerët përdorin protokollin DNS për të dërguar komanda të thjeshta kontrolli, të themi, (Remote Access Trojan, shkurtuar si RAT).
- Tuneli IP-Mbi-DNS - Kjo mund të tingëllojë e çmendur, por ka programe që zbatojnë një grumbull IP në krye të kërkesave dhe përgjigjeve të protokollit DNS. Ai bën transferimin e të dhënave duke përdorur FTP, Netcat, ssh, etj. një detyrë relativisht e thjeshtë. Jashtëzakonisht ogurzi!
Zbulimi i tunelit DNS
Ekzistojnë dy metoda kryesore për zbulimin e abuzimit me DNS: analiza e ngarkesës dhe analiza e trafikut.
në analiza e ngarkesës Pala mbrojtëse kërkon anomali në të dhënat e dërguara përpara dhe me radhë që mund të zbulohen me metoda statistikore: emra pritës me pamje të çuditshme, një lloj regjistrimi DNS që nuk përdoret aq shpesh, ose kodim jo standard.
në analiza e trafikut Numri i kërkesave DNS për çdo domen vlerësohet në krahasim me mesataren statistikore. Sulmuesit që përdorin tunelizimin DNS do të gjenerojnë një sasi të madhe trafiku në server. Në teori, dukshëm më i lartë se shkëmbimi normal i mesazheve DNS. Dhe kjo duhet të monitorohet!
Shërbimet e tunelit DNS
Nëse dëshironi të kryeni pentestin tuaj dhe të shihni se sa mirë kompania juaj mund të zbulojë dhe t'i përgjigjet një aktiviteti të tillë, ka disa shërbime për këtë. Të gjithë ata mund të tunelin në modalitet IP-Mbi-DNS:
- – në dispozicion në shumë platforma (Linux, Mac OS, FreeBSD dhe Windows). Ju lejon të instaloni një guaskë SSH midis kompjuterëve të synuar dhe të kontrollit. Kjo është një e mirë mbi vendosjen dhe përdorimin e Jodit.
- – Projekti i tunelit DNS nga Dan Kaminsky, i shkruar në Perl. Mund të lidheni me të përmes SSH.
- - "Tunel DNS që nuk të sëmur." Krijon një kanal të koduar C2 për dërgimin/shkarkimin e skedarëve, lëshimin e predhave, etj.
Shërbimet e monitorimit të DNS
Më poshtë është një listë e disa shërbimeve që do të jenë të dobishme për zbulimin e sulmeve të tunelit:
- – Moduli Python i shkruar për MercenaryHuntFramework dhe Mercenary-Linux. Lexon skedarët .pcap, nxjerr pyetje DNS dhe kryen hartën e vendndodhjes për të ndihmuar në analizë.
- – një mjet i Python që lexon skedarët .pcap dhe analizon mesazhet DNS.
Mikro FAQ për tunelimin DNS
Informacione të dobishme në formën e pyetjeve dhe përgjigjeve!
Pyetje: Çfarë është tunelizimi?
O: Është thjesht një mënyrë për të transferuar të dhëna mbi një protokoll ekzistues. Protokolli themelor siguron një kanal ose tunel të dedikuar, i cili më pas përdoret për të fshehur informacionin që transmetohet në të vërtetë.
Pyetje: Kur u krye sulmi i parë i tunelit DNS?
O: Ne nuk e dimë! Nëse e dini, ju lutemi na tregoni. Me sa dimë, diskutimi i parë i sulmit u iniciua nga Oscar Piersan në listën e postimeve të Bugtraq në prill 1998.
Pyetje: Cilat sulme janë të ngjashme me tunelizimin DNS?
O: DNS është larg nga i vetmi protokoll që mund të përdoret për tunele. Për shembull, malware i komandës dhe kontrollit (C2) shpesh përdor HTTP për të maskuar kanalin e komunikimit. Ashtu si me tunelizimin DNS, hakeri fsheh të dhënat e tij, por në këtë rast duket si trafiku nga një shfletues i rregullt uebi që hyn në një faqe të largët (të kontrolluar nga sulmuesi). Kjo mund të kalojë pa u vënë re nga programet e monitorimit nëse ato nuk janë të konfiguruara për të perceptuar abuzimi i protokollit HTTP për qëllime hakeri.
Dëshironi që ne të ndihmojmë me zbulimin e tunelit DNS? Shikoni modulin tonë dhe provojeni falas !
Burimi: www.habr.com