DNS tunneling ngarobah sistem ngaran domain jadi pakarang pikeun hacker. DNS dasarna mangrupikeun buku telepon Internét anu ageung. DNS ogé mangrupikeun protokol dasar anu ngamungkinkeun para pangurus naroskeun pangkalan data pangladén DNS. Sajauh sagalana sigana jelas. Tapi hacker licik sadar yén maranéhna cicingeun bisa komunikasi jeung komputer korban ku injecting paréntah kontrol jeung data kana protokol DNS. Gagasan ieu mangrupikeun dasar tunneling DNS.
Kumaha DNS tunneling jalan
Sadayana dina Internét ngagaduhan protokol anu misah. Jeung rojongan DNS relatif basajan tipe pamundut-réspon. Lamun hayang ningali kumaha gawéna, anjeun tiasa ngajalankeun nslookup, alat utama pikeun nyieun queries DNS. Anjeun tiasa menta alamat ku saukur nangtukeun ngaran domain nu dipikaresep ku anjeun, contona:
Dina kasus urang, protokol direspon ku alamat IP domain. Dina hal protokol DNS, kuring ngadamel pamundut alamat atanapi anu disebut pamundut. Jenis "A". Aya tipe séjén requests, sarta protokol DNS bakal ngabales ku set béda tina widang data, nu, sakumaha bakal urang tingali engké, bisa dieksploitasi ku hacker.
Hiji cara atanapi anu sanés, dina inti na, protokol DNS prihatin pikeun ngirimkeun pamundut ka server sareng résponna deui ka klien. Kumaha upami panyerang nambihan pesen anu disumputkeun dina pamundut nami domain? Contona, tinimbang ngasupkeun URL lengkep sah, anjeunna bakal ngasupkeun data anjeunna hayang ngirimkeun:
Hayu urang nyebutkeun hiji panyerang ngadalikeun server DNS. Éta teras tiasa ngirimkeun data-data pribadi, contona-tanpa kedah dideteksi. Barina ogé, naha query DNS ujug-ujug jadi hal haram?
Ku ngadalikeun server, hacker bisa forge réspon jeung ngirim data deui ka sistem target. Hal ieu ngamungkinkeun aranjeunna pikeun ngirimkeun pesen anu disumputkeun dina sababaraha widang réspon DNS kana malware dina mesin anu kainféksi, kalayan paréntah sapertos milarian dina folder khusus.
Bagian "tunneling" tina serangan ieu data sareng paréntah tina deteksi ku sistem ngawaskeun. Peretas tiasa nganggo set karakter base32, base64, jsb, atanapi bahkan énkripsi data. Encoding sapertos kitu bakal teu kadeteksi ku utilitas deteksi ancaman saderhana anu milarian plaintext.
Sareng ieu mangrupikeun tunneling DNS!
Sajarah serangan tunneling DNS
Sadayana ngagaduhan awal, kalebet ideu pikeun ngabajak protokol DNS pikeun tujuan hacking. Sajauh urang tiasa ngabejaan, kahiji Serangan ieu dilakukeun ku Oskar Pearson dina milis Bugtraq dina April 1998.
Ku 2004, DNS tunneling diwanohkeun dina Black Hat salaku téhnik Hacking dina presentasi ku Dan Kaminsky. Ku kituna, gagasan pisan gancang tumuwuh jadi alat serangan nyata.
Kiwari, tunneling DNS ngagaduhan posisi anu yakin dina peta (jeung blogger kaamanan informasi mindeng dipenta pikeun ngajelaskeun eta).
Dupi anjeun ngadéngé ngeunaan ? Ieu mangrupikeun kampanye anu terus-terusan ku grup penjahat cyber-paling dipikaresep disponsoran nagara-pikeun ngabajak server DNS anu sah pikeun alihan pamundut DNS ka server sorangan. Ieu ngandung harti yén organisasi bakal nampi alamat IP "goréng" anu nunjuk ka halaman wéb palsu anu dijalankeun ku peretas, sapertos Google atanapi FedEx. Dina waktos anu sami, panyerang bakal tiasa nampi akun pangguna sareng kecap akses, anu teu sadar bakal ngalebetkeunana dina situs palsu sapertos kitu. Ieu sanes tunneling DNS, tapi ngan konsekuensi musibah sejen tina hacker ngadalikeun server DNS.
Ancaman tunneling DNS
DNS tunneling téh kawas hiji indikator awal tahap warta goréng. Numana? Kami parantos nyarioskeun sababaraha, tapi hayu urang nyusun aranjeunna:
- Kaluaran data (exfiltration) – hacker cicingeun ngirimkeun data kritis ngaliwatan DNS. Ieu pasti sanés cara anu paling éfisién pikeun nransferkeun inpormasi tina komputer korban - ngémutan sadaya biaya sareng encodings - tapi tiasa dianggo, sareng dina waktos anu sami - cicingeun!
- Komando sareng Kontrol (disingkat C2) - peretas ngagunakeun protokol DNS pikeun ngirim paréntah kontrol basajan ngaliwatan, sebutkeun, (Remote Access Trojan, disingget RAT).
- IP-Leuwih-DNS Tunneling - Ieu bisa disada gélo, tapi aya utilitas nu nerapkeun hiji tumpukan IP dina luhureun requests jeung réspon protokol DNS. Éta ngajantenkeun transfer data nganggo FTP, Netcat, ssh, jsb. tugas kawilang basajan. Kacida pikasieuneun!
Ngadeteksi DNS tunneling
Aya dua metodeu utama pikeun ngadeteksi panyalahgunaan DNS: analisis beban sareng analisis lalu lintas.
di analisis beban Pihak defending néangan anomali dina data dikirim deui mudik nu bisa ditandaan ku métode statistik: ngaran host aneh-pilari, tipe rékaman DNS anu teu dipaké salaku mindeng, atawa non-standar encoding.
di analisis lalulintas Jumlah pamundut DNS ka unggal domain diperkirakeun dibandingkeun rata statistik. Penyerang nganggo tunneling DNS bakal ngahasilkeun jumlah lalu lintas anu ageung ka server. Dina tiori, nyata punjul mun bursa pesen DNS normal. Sareng ieu kedah diawaskeun!
Utiliti tunneling DNS
Upami anjeun hoyong ngalaksanakeun pentest anjeun nyalira sareng ningali kumaha perusahaan anjeun tiasa ngadeteksi sareng ngabales kagiatan sapertos kitu, aya sababaraha utilitas pikeun ieu. Sadayana tiasa torowongan dina modeu IP-Leuwih-DNS:
- - sayogi dina seueur platform (Linux, Mac OS, FreeBSD sareng Windows). Ngidinan anjeun masang cangkang SSH antara target sareng komputer kontrol. Éta anu saé dina nyetel tur ngagunakeun iodin.
- - Proyék tunneling DNS ti Dan Kaminsky, ditulis dina Perl. Anjeun tiasa nyambung ka éta via SSH.
- - "Torowongan DNS anu henteu ngajantenkeun anjeun gering." Nyiptakeun saluran C2 énkripsi pikeun ngirim / ngaunduh file, ngaluncurkeun cangkang, jsb.
Utiliti ngawaskeun DNS
Di handap ieu daptar sababaraha utilitas anu bakal kapaké pikeun ngadeteksi serangan tunneling:
- - Modul Python ditulis pikeun MercenaryHuntFramework sareng Mercenary-Linux. Maca file .pcap, ékstrak query DNS sareng ngalaksanakeun pemetaan geolokasi pikeun ngabantosan analisa.
- - utilitas Python anu maca file .pcap sareng nganalisa pesen DNS.
FAQ mikro ngeunaan tunneling DNS
Mangpaat informasi dina wangun tanya jawab!
Q: Naon tunneling?
Ngeunaan: Éta ngan saukur cara pikeun nransfer data ngaliwatan protokol anu tos aya. Protokol dasarna nyayogikeun saluran atanapi torowongan khusus, anu teras dianggo pikeun nyumputkeun inpormasi anu leres-leres dikirimkeun.
Q: Iraha serangan tunneling DNS munggaran dilaksanakeun?
Ngeunaan: Kami henteu terang! Upami anjeun terang, mangga wartosan kami. Sajauh pangaweruh urang, diskusi munggaran ngeunaan serangan ieu diprakarsai ku Oscar Piersan dina milis Bugtraq dina April 1998.
Q: Serangan naon anu sami sareng DNS tunneling?
Ngeunaan: DNS jauh tina hiji-hijina protokol anu tiasa dianggo pikeun tunneling. Contona, paréntah jeung kontrol (C2) malware mindeng ngagunakeun HTTP pikeun mask saluran komunikasi. Sapertos DNS tunneling, hacker nyumputkeun datana, tapi dina hal ieu sigana lalulintas ti browser wéb biasa anu ngaksés situs jauh (dikawasa ku panyerang). Ieu tiasa waé teu kaémutan ku program ngawaskeun upami aranjeunna henteu dikonpigurasi pikeun ditanggap nyiksa protokol HTTP pikeun tujuan hacker.
Naha anjeun hoyong kami ngabantosan deteksi torowongan DNS? Pariksa modul urang sareng cobian gratis !
sumber: www.habr.com