Тунелинги DNS системаи номи доменро ба силоҳи ҳакерҳо табдил медиҳад. DNS аслан китоби бузурги телефонии Интернет аст. DNS инчунин протоколи асосӣ мебошад, ки ба маъмурон имкон медиҳад, ки пойгоҳи додаҳои сервери DNS-ро дархост кунанд. То ҳол ҳама чиз равшан ба назар мерасад. Аммо ҳакерҳои маккор дарк карданд, ки онҳо метавонанд бо ворид кардани фармонҳои идоракунӣ ва маълумот ба протоколи DNS бо компютери ҷабрдида пинҳонӣ муошират кунанд. Ин идея асоси нақби DNS мебошад.
Чӣ тавр нақби DNS кор мекунад
Ҳама чиз дар Интернет протоколи алоҳидаи худро дорад. Ва дастгирии DNS нисбатан содда аст намуди дархост-ҷавоб. Агар шумо хоҳед, ки бубинед, ки он чӣ гуна кор мекунад, шумо метавонед nslookup-ро иҷро кунед, воситаи асосӣ барои қабули дархостҳои DNS. Шумо метавонед бо нишон додани номи домене, ки ба шумо таваҷҷӯҳ доред, суроғаро дархост кунед, масалан:
Дар ҳолати мо, протокол бо суроғаи IP-и домен ҷавоб дод. Дар робита ба протоколи DNS, ман дархости суроға ё ба истилоҳ дархост кардам. навъи «А». Дигар намуди дархостҳо вуҷуд доранд ва протоколи DNS бо маҷмӯи гуногуни майдонҳои додаҳо ҷавоб медиҳад, ки чӣ тавре ки мо дертар мебинем, аз ҷониби ҳакерҳо метавонанд истифода шаванд.
Дар ин ё он роҳ, протоколи DNS бо интиқоли дархост ба сервер ва посухи он ба муштарӣ алоқаманд аст. Чӣ мешавад, агар ҳамлакунанда дар дохили дархости номи домен паёми пинҳониро илова кунад? Масалан, ба ҷои ворид кардани URL-и комилан қонунӣ, вай маълумотеро, ки мехоҳад интиқол диҳад, ворид мекунад:
Фарз мекунем, ки ҳамлакунанда сервери DNS-ро идора мекунад. Он гоҳ метавонад маълумот - маълумоти шахсӣ, масалан - бе ҳатман ошкор шавад. Дар ниҳоят, чаро дархости DNS ногаҳон чизи ғайриқонунӣ мешавад?
Бо назорати сервер, ҳакерҳо метавонанд ҷавобҳои қалбакӣ эҷод кунанд ва маълумотро ба системаи мақсаднок баргардонанд. Ин ба онҳо имкон медиҳад, ки паёмҳои дар соҳаҳои мухталифи вокуниши DNS пинҳоншударо ба нармафзори зараровар дар мошини сироятшуда бо дастурҳо ба монанди ҷустуҷӯ дар дохили ҷузвдони мушаххас интиқол диҳанд.
Қисми "туннелсозӣ" -и ин ҳамла аст маълумот ва фармонҳо аз ошкор аз ҷониби системаҳои мониторинг. Ҳакерҳо метавонанд маҷмӯи аломатҳои base32, base64 ва ғайраро истифода баранд ё ҳатто маълумотро рамзгузорӣ кунанд. Чунин рамзгузорӣ аз ҷониби утилитаҳои оддии ошкоркунии таҳдидҳо, ки матни оддиро ҷустуҷӯ мекунанд, бидуни ошкор мегузарад.
Ва ин нақби DNS аст!
Таърихи ҳамлаҳои нақби DNS
Ҳама чиз ибтидо дорад, аз ҷумла идеяи рабудани протоколи DNS бо ҳадафҳои ҳакерӣ. То ҷое ки мо гуфта метавонем, аввалин Ин ҳамла аз ҷониби Оскар Пирсон дар рӯйхати почтаи электронии Bugtraq дар моҳи апрели соли 1998 анҷом дода шуд.
То соли 2004, нақби DNS дар Black Hat ҳамчун як усули ҳакерӣ дар муаррифии Дэн Каминский ҷорӣ карда шуд. Ҳамин тариқ, идея хеле зуд ба воситаи ҳамлаи воқеӣ табдил ёфт.
Имрӯз нақби DNS дар харита мавқеи боэътимодро ишғол мекунад (ва аз блогерҳои амнияти иттилоотӣ аксар вақт хоҳиш карда мешавад, ки онро шарҳ диҳанд).
Оё шумо дар бораи ? Ин як маъракаи давомдор аз ҷониби гурӯҳҳои киберҷинояткор аст, ки эҳтимол аз ҷониби давлат маблағгузорӣ мешавад - барои рабудани серверҳои қонунии DNS бо мақсади интиқоли дархостҳои DNS ба серверҳои худ. Ин маънои онро дорад, ки созмонҳо суроғаҳои IP-и "бад" мегиранд, ки ба веб-саҳифаҳои қалбакӣ, аз қабили Google ё FedEx, ҳакерҳо идора мекунанд. Ҳамзамон ҳамлагарон метавонанд ҳисобҳои корбарӣ ва паролҳоро ба даст оранд, ки надониста онҳоро дар чунин сайтҳои қалбакӣ ворид мекунанд. Ин нақби DNS нест, балки танҳо як оқибати нохуши ҳакерҳо, ки серверҳои DNS-ро назорат мекунанд.
Таҳдидҳои нақби DNS
Тунелинги DNS ба нишондиҳандаи оғози марҳилаи хабари бад монанд аст. Кадомашон? Мо аллакай дар бораи якчанд сӯҳбат кардем, аммо биёед онҳоро сохтор кунем:
- Натиҷаи маълумот (экфилтратсия) - ҳакер ба таври махфӣ маълумоти муҳимро тавассути DNS интиқол медиҳад. Ин бешубҳа роҳи беҳтарини интиқоли маълумот аз компютери ҷабрдида нест - бо назардошти ҳамаи хароҷот ва рамзгузорӣ - аммо он кор мекунад ва дар айни замон - пинҳонӣ!
- Фармон ва назорат (ихтисоршуда C2) - ҳакерҳо протоколи DNS-ро барои фиристодани фармонҳои оддии идоракунӣ истифода мебаранд, масалан: (Трояни дастрасии дурдаст, кӯтоҳшуда RAT).
- Туннели IP-Over-DNS - Ин метавонад девона садо диҳад, аммо утилитҳо мавҷуданд, ки стеки IP-ро дар болои дархостҳо ва посухҳои протоколи DNS татбиқ мекунанд. Он тавассути FTP, Netcat, ssh ва ғайра интиқоли маълумотро анҷом медиҳад. вазифаи нисбатан содда. Хеле даҳшатовар!
Муайян кардани нақби DNS
Ду усули асосии ошкор кардани сӯиистифодаи DNS вуҷуд дорад: таҳлили сарборӣ ва таҳлили трафик.
дар таҳлили сарборӣ Ҷониби ҳимоят дар маълумоте, ки ба пасу пеш фиристода мешавад, аномалияҳоро меҷӯяд, ки онҳоро бо усулҳои оморӣ ошкор кардан мумкин аст: номҳои ҳостҳои аҷиб, навъи сабти DNS, ки аксар вақт истифода намешаванд ё рамзгузории ғайристандартӣ.
дар таҳлили трафик Шумораи дархостҳои DNS ба ҳар як домен дар муқоиса бо миёнаи оморӣ ҳисоб карда мешавад. Ҳамлагарон бо истифода аз нақби DNS миқдори зиёди трафикро ба сервер тавлид мекунанд. Дар назария, аз мубодилаи паёмҳои муқаррарии DNS хеле болотар аст. Ва ин бояд назорат карда шавад!
Утилитаҳои нақби DNS
Агар шумо хоҳед, ки пентести худро гузаронед ва бубинед, ки ширкати шумо то чӣ андоза метавонад ба ин гуна фаъолиятро ошкор ва вокуниш нишон диҳад, барои ин якчанд хидматрасониҳо мавҷуданд. Ҳамаи онҳо метавонанд дар ҳолати нақб IP-бар-DNS:
- – дар бисёр платформаҳо дастрас аст (Linux, Mac OS, FreeBSD ва Windows). Ба шумо имкон медиҳад, ки қабати SSH-ро дар байни компютерҳои мақсаднок ва назоратӣ насб кунед. Ин хуб аст оид ба гузоштан ва истифода бурдани йод.
- - Лоиҳаи нақби DNS аз Дэн Каминский, ки дар Perl навишта шудааст. Шумо метавонед ба он тавассути SSH пайваст шавед.
- - "Нақби DNS, ки шуморо бемор намекунад." Канали рамзшудаи C2-ро барои ирсол/зеркашии файлҳо, оғоз кардани снарядҳо ва ғайра эҷод мекунад.
Утилитаҳои мониторинги DNS
Дар зер рӯйхати якчанд утилитҳо оварда шудааст, ки барои ошкор кардани ҳамлаҳои нақб муфид хоҳанд буд:
- – Модули Python барои MercenaryHuntFramework ва Mercenary-Linux навишта шудааст. Файлҳои .pcap-ро мехонад, дархостҳои DNS-ро хориҷ мекунад ва харитаи ҷойгиршавии ҷуғрофиро барои кӯмак дар таҳлил иҷро мекунад.
- – утилитаи Python, ки файлҳои .pcap-ро мехонад ва паёмҳои DNS-ро таҳлил мекунад.
Саволҳои хурд оид ба нақби DNS
Маълумоти муфид дар шакли саволу ҷавоб!
Савол: Тунельсозӣ чист?
Дар бораи: Ин танҳо як роҳи интиқоли маълумот аз протоколи мавҷуда аст. Протоколи асосӣ канал ё нақби махсусро таъмин мекунад, ки баъдан барои пинҳон кардани иттилооти интиқолшаванда истифода мешавад.
Савол: Аввалин ҳамлаи нақби DNS кай анҷом дода шуд?
Дар бораи: Мо намедонем! Агар шумо медонед, лутфан ба мо хабар диҳед. То ҳадди маълумоти мо, муҳокимаи аввалини ҳамла аз ҷониби Оскар Пирсан дар рӯйхати почтаи электронии Bugtraq моҳи апрели соли 1998 оғоз шуда буд.
Савол: Кадом ҳамлаҳо ба нақби DNS монанданд?
Дар бораи: DNS аз ягона протоколе, ки барои нақбсозӣ истифода мешавад, дур аст. Масалан, нармафзори зараровар фармон ва назорат (C2) аксар вақт HTTP-ро барои ниқоб кардани канали иртибот истифода мебарад. Мисли нақби DNS, ҳакер маълумоти худро пинҳон мекунад, аммо дар ин ҳолат он ба трафик аз веб-браузери муқаррарӣ, ки ба сайти дурдаст дастрасӣ дорад (аз ҷониби ҳамлагар назорат мешавад) ба назар мерасад. Ин метавонад аз ҷониби барномаҳои мониторинг нодида гирифта шавад, агар онҳо барои дарк танзим нашуда бошанд сӯиистифода аз протоколи HTTP бо ҳадафҳои ҳакерӣ.
Оё шумо мехоҳед, ки мо дар ошкор кардани нақби DNS кӯмак кунем? Модули моро санҷед ва онро ройгон санҷед !
Манбаъ: will.com