ДНС тунелирање претвара систем имена домена у оружје за хакере. ДНС је у суштини огроман телефонски именик Интернета. ДНС је такође основни протокол који омогућава администраторима да постављају упите бази података ДНС сервера. За сада све изгледа јасно. Али лукави хакери су схватили да могу тајно да комуницирају са рачунаром жртве убацивањем контролних команди и података у ДНС протокол. Ова идеја је основа ДНС тунелирања.
Како функционише ДНС тунелирање
Све на Интернету има свој посебан протокол. А ДНС подршка је релативно једноставна тип захтев-одговор. Ако желите да видите како то функционише, можете покренути нслоокуп, главни алат за прављење ДНС упита. Можете затражити адресу једноставним навођењем имена домена за које сте заинтересовани, на пример:
У нашем случају, протокол је одговорио са ИП адресом домена. Што се тиче ДНС протокола, направио сам захтев за адресу или захтев тзв. "Врста. Постоје и друге врсте захтева, а ДНС протокол ће одговорити другачијим скупом поља података, које, као што ћемо касније видети, могу да искористе хакери.
На овај или онај начин, у својој сржи, ДНС протокол се бави преношењем захтева серверу и његовог одговора назад клијенту. Шта ако нападач дода скривену поруку унутар захтева за име домена? На пример, уместо да унесе потпуно легитимну УРЛ адресу, он ће унети податке које жели да пренесе:
Рецимо да нападач контролише ДНС сервер. Затим може да преноси податке - на пример личне податке - а да не буде нужно откривен. Уосталом, зашто би ДНС упит одједном постао нешто нелегитимно?
Контролом сервера, хакери могу кривотворити одговоре и послати податке назад у циљни систем. Ово им омогућава да прослеђују поруке скривене у различитим пољима ДНС одговора на малвер на зараженој машини, са упутствима као што је претрага унутар одређене фасцикле.
"Тунелски" део овог напада је података и команди од детекције система за праћење. Хакери могу да користе басе32, басе64, итд. скупове знакова, или чак да шифрују податке. Такво кодирање ће проћи неоткривено једноставним услужним програмима за откривање претњи који претражују отворени текст.
А ово је ДНС тунелирање!
Историја напада ДНС тунела
Све има почетак, укључујући и идеју о отмици ДНС протокола у сврхе хаковања. Колико можемо рећи, први Овај напад је извео Оскар Пеарсон на Бугтрак маилинг листи у априлу 1998.
До 2004. године, ДНС тунелирање је уведено у Блацк Хат као техника хаковања у презентацији Дана Каминског. Тако је идеја врло брзо прерасла у прави алат за напад.
Данас, ДНС тунеловање заузима поуздану позицију на мапи (а од блогера о информационој безбедности се често тражи да то објасне).
Јесте ли чули за ? Ово је текућа кампања сајбер криминалних група – највероватније спонзорисана од стране државе – да отму легитимне ДНС сервере како би преусмерили ДНС захтеве на сопствене сервере. То значи да ће организације добити „лоше“ ИП адресе које упућују на лажне веб странице које воде хакери, као што су Гоогле или ФедЕк. Истовремено, нападачи ће моћи да добију корисничке налоге и лозинке, који ће их несвесно уносити на такве лажне сајтове. Ово није ДНС тунелирање, већ само још једна несрећна последица хакера који контролишу ДНС сервере.
Претње ДНС тунела
ДНС тунелирање је као показатељ почетка фазе лоших вести. Које? Већ смо говорили о неколико, али хајде да их структурирамо:
- Излаз података (екфилтрација) – хакер тајно преноси критичне податке преко ДНС-а. Ово дефинитивно није најефикаснији начин за пренос информација са рачунара жртве – узимајући у обзир све трошкове и кодирања – али ради, и то у исто време – тајно!
- Команда и контрола (скраћено Ц2) – хакери користе ДНС протокол да шаљу једноставне контролне команде преко, рецимо, (Тројанац за даљински приступ, скраћено РАТ).
- ИП-Овер-ДНС тунелирање – Ово може звучати лудо, али постоје услужни програми који имплементирају ИП стек на захтеве и одговоре ДНС протокола. Обавља пренос података користећи ФТП, Нетцат, ссх, итд. релативно једноставан задатак. Изузетно злослутно!
Откривање ДНС тунела
Постоје две главне методе за откривање злоупотребе ДНС-а: анализа оптерећења и анализа саобраћаја.
У анализа оптерећења Странка која се брани тражи аномалије у подацима који се шаљу напред-назад које се могу открити статистичким методама: имена хостова чудног изгледа, тип ДНС записа који се не користи тако често или нестандардно кодирање.
У анализа саобраћаја Број ДНС захтева за сваки домен се процењује у поређењу са статистичким просеком. Нападачи који користе ДНС тунелирање ће генерисати велику количину саобраћаја на серверу. У теорији, знатно бољи од нормалне размене ДНС порука. И ово треба пратити!
Услужни програми за ДНС тунелирање
Ако желите да спроведете сопствени пентест и видите колико добро ваша компанија може да открије и реагује на такву активност, постоји неколико услужних програма за ово. Сви они могу тунелирати у режиму ИП-Овер-ДНС:
- – доступно на многим платформама (Линук, Мац ОС, ФрееБСД и Виндовс). Омогућава вам да инсталирате ССХ шкољку између циљног и контролног рачунара. Та ти је добра о постављању и употреби јода.
- – Пројекат ДНС тунелирања од Дана Каминског, написан на Перлу. На њега се можете повезати преко ССХ-а.
- - „ДНС тунел од којег се не разболиш.“ Креира шифровани Ц2 канал за слање/преузимање датотека, покретање шкољки итд.
Услужни програми за праћење ДНС-а
Испод је листа неколико услужних програма који ће бити корисни за откривање тунелских напада:
- – Питхон модул написан за МерценариХунтФрамеворк и Мерценари-Линук. Чита .пцап датотеке, издваја ДНС упите и врши мапирање геолокације да би помогло у анализи.
- – Питхон услужни програм који чита .пцап датотеке и анализира ДНС поруке.
Микро често постављана питања о ДНС тунелирању
Корисне информације у виду питања и одговора!
П: Шта је тунелирање?
Абоут: То је једноставно начин за пренос података преко постојећег протокола. Основни протокол обезбеђује наменски канал или тунел, који се затим користи за скривање информација које се стварно преносе.
П: Када је извршен први напад ДНС тунела?
Абоут: Не знамо! Ако знате, јавите нам. Колико нам је познато, прву дискусију о нападу покренуо је Осцар Пиерсан на Бугтрак маилинг листи у априлу 1998.
П: Који су напади слични ДНС тунелирању?
Абоут: ДНС је далеко од јединог протокола који се може користити за тунелирање. На пример, малвер за команду и контролу (Ц2) често користи ХТТП да маскира комуникациони канал. Као и код ДНС тунела, хакер сакрива своје податке, али у овом случају то изгледа као саобраћај из обичног веб претраживача који приступа удаљеном сајту (који контролише нападач). Ово може проћи непримећено од стране програма за праћење ако нису конфигурисани да перципирају злоупотреба ХТТП протокола у хакерске сврхе.
Да ли желите да вам помогнемо у откривању ДНС тунела? Погледајте наш модул и испробајте бесплатно !
Извор: ввв.хабр.цом