DNS-tunnling förvandlar domännamnssystemet till ett vapen för hackare. DNS är i grunden Internets enorma telefonbok. DNS är också det underliggande protokollet som tillåter administratörer att fråga efter DNS-serverdatabasen. Än så länge verkar allt klart. Men listiga hackare insåg att de i hemlighet kunde kommunicera med offrets dator genom att injicera kontrollkommandon och data i DNS-protokollet. Denna idé är grunden för DNS-tunnling.
Hur DNS-tunnling fungerar
Allt på Internet har sitt eget separata protokoll. Och DNS-stöd är relativt enkelt begäran-svarstyp. Om du vill se hur det fungerar kan du köra nslookup, huvudverktyget för att göra DNS-frågor. Du kan begära en adress genom att helt enkelt ange det domännamn du är intresserad av, till exempel:
I vårt fall svarade protokollet med domänens IP-adress. När det gäller DNS-protokollet så gjorde jag en adressbegäran eller en så kallad begäran. "En typ. Det finns andra typer av förfrågningar, och DNS-protokollet kommer att svara med en annan uppsättning datafält, som, som vi kommer att se senare, kan utnyttjas av hackare.
På ett eller annat sätt, i sin kärna, handlar DNS-protokollet om att överföra en begäran till servern och dess svar tillbaka till klienten. Vad händer om en angripare lägger till ett dolt meddelande i en begäran om domännamn? Till exempel, istället för att ange en helt legitim URL, kommer han att ange de uppgifter han vill överföra:
Låt oss säga att en angripare kontrollerar DNS-servern. Den kan sedan överföra data – till exempel personuppgifter – utan att nödvändigtvis upptäckas. När allt kommer omkring, varför skulle en DNS-fråga plötsligt bli något olagligt?
Genom att kontrollera servern kan hackare förfalska svar och skicka data tillbaka till målsystemet. Detta gör att de kan skicka meddelanden som är dolda i olika fält av DNS-svaret på skadlig programvara på den infekterade maskinen, med instruktioner som att söka i en specifik mapp.
Den "tunneling" delen av denna attack är data och kommandon från detektering av övervakningssystem. Hackare kan använda base32, base64, etc. teckenuppsättningar, eller till och med kryptera data. Sådan kodning kommer att passera oupptäckt av enkla hotdetektionsverktyg som söker i klartext.
Och det här är DNS-tunnling!
Historik om DNS-tunnlingsattacker
Allt har en början, inklusive idén att kapa DNS-protokollet i hackningssyfte. Så vitt vi kan säga, den första Denna attack utfördes av Oskar Pearson på Bugtraqs e-postlista i april 1998.
År 2004 introducerades DNS-tunnling på Black Hat som en hackningsteknik i en presentation av Dan Kaminsky. Således växte idén mycket snabbt till ett riktigt attackverktyg.
Idag intar DNS-tunnling en säker position på kartan (och informationssäkerhetsbloggare uppmanas ofta att förklara det).
Har du hört om ? Detta är en pågående kampanj av cyberkriminella grupper – troligen statligt sponsrade – för att kapa legitima DNS-servrar för att omdirigera DNS-förfrågningar till sina egna servrar. Det betyder att organisationer kommer att få "dåliga" IP-adresser som pekar på falska webbsidor som drivs av hackare, som Google eller FedEx. Samtidigt kommer angripare att kunna skaffa användarkonton och lösenord, som omedvetet kommer att skriva in dem på sådana falska webbplatser. Detta är inte DNS-tunnling, utan bara en annan olycklig konsekvens av att hackare kontrollerar DNS-servrar.
DNS-tunnlingshot
DNS-tunnling är som en indikator på början av scenen med dåliga nyheter. Vilka? Vi har redan pratat om flera, men låt oss strukturera dem:
- Datautgång (exfiltrering) – en hacker sänder i hemlighet kritisk data över DNS. Detta är definitivt inte det mest effektiva sättet att överföra information från offrets dator - med hänsyn till alla kostnader och kodningar - men det fungerar, och samtidigt - i hemlighet!
- Kommando och kontroll (förkortat C2) – hackare använder DNS-protokollet för att skicka enkla kontrollkommandon genom t.ex. (Remote Access Trojan, förkortat RAT).
- IP-over-DNS-tunneling – Det här kan låta galet, men det finns verktyg som implementerar en IP-stack ovanpå DNS-protokollförfrågningar och svar. Det gör dataöverföring med FTP, Netcat, ssh, etc. en relativt enkel uppgift. Extremt illavarslande!
Upptäcker DNS-tunnling
Det finns två huvudsakliga metoder för att upptäcka DNS-missbruk: belastningsanalys och trafikanalys.
vid belastningsanalys Den försvarande parten letar efter anomalier i data som skickas fram och tillbaka som kan upptäckas med statistiska metoder: konstiga värdnamn, en DNS-posttyp som inte används så ofta eller icke-standardkodning.
vid trafikanalys Antalet DNS-förfrågningar till varje domän uppskattas jämfört med det statistiska genomsnittet. Angripare som använder DNS-tunnling kommer att generera en stor mängd trafik till servern. I teorin betydligt överlägsen normalt DNS-meddelandeutbyte. Och detta måste övervakas!
DNS-tunnelverktyg
Om du vill genomföra ditt eget test och se hur väl ditt företag kan upptäcka och svara på sådan aktivitet, finns det flera verktyg för detta. Alla kan tunnla i läget IP-över-DNS:
- – tillgängligt på många plattformar (Linux, Mac OS, FreeBSD och Windows). Låter dig installera ett SSH-skal mellan mål- och kontrolldatorerna. Den var bra om att ställa in och använda jod.
- – DNS-tunnelprojekt från Dan Kaminsky, skrivet i Perl. Du kan ansluta till den via SSH.
- - "DNS-tunnel som inte gör dig sjuk." Skapar en krypterad C2-kanal för att skicka/ladda ner filer, lansera skal, etc.
DNS-övervakningsverktyg
Nedan finns en lista över flera verktyg som kommer att vara användbara för att upptäcka tunnlingsattacker:
- – Python-modul skriven för MercenaryHuntFramework och Mercenary-Linux. Läser .pcap-filer, extraherar DNS-frågor och utför geolokaliseringsmappning för att underlätta analysen.
- – ett Python-verktyg som läser .pcap-filer och analyserar DNS-meddelanden.
Micro FAQ om DNS-tunnling
Användbar information i form av frågor och svar!
F: Vad är tunnling?
om: Det är helt enkelt ett sätt att överföra data över ett befintligt protokoll. Det underliggande protokollet tillhandahåller en dedikerad kanal eller tunnel, som sedan används för att dölja informationen som faktiskt sänds.
F: När genomfördes den första DNS-tunnlingsattacken?
om: Vi vet inte! Om du vet, vänligen meddela oss. Så vitt vi vet initierades den första diskussionen om attacken av Oscar Piersan i Bugtraqs e-postlista i april 1998.
F: Vilka attacker liknar DNS-tunnling?
om: DNS är långt ifrån det enda protokollet som kan användas för tunnling. Till exempel använder kommando och kontroll (C2) skadlig programvara ofta HTTP för att maskera kommunikationskanalen. Precis som med DNS-tunnling döljer hackaren sin data, men i det här fallet ser det ut som trafik från en vanlig webbläsare som kommer åt en fjärrplats (kontrollerad av angriparen). Detta kan gå obemärkt förbi av övervakningsprogram om de inte är konfigurerade att uppfatta missbruk av HTTP-protokollet för hackersyften.
Vill du att vi hjälper till med DNS-tunneldetektering? Kolla in vår modul och prova det gratis !
Källa: will.com