การขุดอุโมงค์ DNS เปลี่ยนระบบชื่อโดเมนให้เป็นอาวุธสำหรับแฮกเกอร์ DNS ถือเป็นสมุดโทรศัพท์ขนาดใหญ่ของอินเทอร์เน็ต DNS ยังเป็นโปรโตคอลพื้นฐานที่ช่วยให้ผู้ดูแลระบบสามารถสืบค้นฐานข้อมูลเซิร์ฟเวอร์ DNS ได้ จนถึงตอนนี้ทุกอย่างดูเหมือนชัดเจน แต่แฮกเกอร์เจ้าเล่ห์ตระหนักว่าพวกเขาสามารถสื่อสารกับคอมพิวเตอร์ของเหยื่ออย่างลับๆ ได้โดยการฉีดคำสั่งควบคุมและข้อมูลลงในโปรโตคอล DNS แนวคิดนี้เป็นพื้นฐานของการทันเนล DNS
DNS tunneling ทำงานอย่างไร
ทุกสิ่งบนอินเทอร์เน็ตมีโปรโตคอลของตัวเองแยกต่างหาก และการรองรับ DNS นั้นค่อนข้างง่าย มาตรการ ประเภทการร้องขอการตอบกลับ หากคุณต้องการดูวิธีการทำงาน คุณสามารถเรียกใช้ nslookup ซึ่งเป็นเครื่องมือหลักในการสืบค้น DNS คุณสามารถขอที่อยู่ได้โดยเพียงระบุชื่อโดเมนที่คุณสนใจ เช่น:
ในกรณีของเรา โปรโตคอลตอบกลับด้วยที่อยู่ IP ของโดเมน ในแง่ของโปรโตคอล DNS ฉันได้ส่งคำขอที่อยู่หรือคำขอที่เรียกว่า "ประเภท. มีคำขอประเภทอื่น ๆ และโปรโตคอล DNS จะตอบสนองด้วยชุดข้อมูลชุดอื่นซึ่งแฮกเกอร์สามารถนำไปใช้ประโยชน์ได้ดังที่เราจะเห็นในภายหลัง
สมมติว่าผู้โจมตีควบคุมเซิร์ฟเวอร์ DNS จากนั้นจะสามารถส่งข้อมูล เช่น ข้อมูลส่วนบุคคล โดยไม่จำเป็นต้องตรวจพบ ท้ายที่สุดแล้ว เหตุใดการสืบค้น DNS จึงกลายเป็นสิ่งผิดกฎหมายในทันที
ด้วยการควบคุมเซิร์ฟเวอร์ แฮกเกอร์สามารถปลอมแปลงการตอบสนองและส่งข้อมูลกลับไปยังระบบเป้าหมายได้ ซึ่งช่วยให้พวกเขาสามารถส่งข้อความที่ซ่อนอยู่ในช่องต่างๆ ของการตอบสนอง DNS ไปยังมัลแวร์บนเครื่องที่ติดไวรัส พร้อมคำแนะนำ เช่น การค้นหาภายในโฟลเดอร์เฉพาะ
ทุกอย่างมีจุดเริ่มต้น รวมถึงแนวคิดในการไฮแจ็กโปรโตคอล DNS เพื่อจุดประสงค์ในการแฮ็ก เท่าที่เราสามารถบอกได้ครั้งแรก อภิปรายผล การโจมตีนี้ดำเนินการโดย Oskar Pearson ในรายชื่อผู้รับจดหมาย Bugtraq ในเดือนเมษายน พ.ศ. 1998
ภายในปี 2004 มีการนำ DNS tunneling มาใช้ที่ Black Hat ซึ่งเป็นเทคนิคการแฮ็กในการนำเสนอโดย Dan Kaminsky ดังนั้นแนวคิดจึงเติบโตอย่างรวดเร็วจนกลายเป็นเครื่องมือโจมตีที่แท้จริง
ปัจจุบัน DNS tunneling ครองตำแหน่งที่มั่นใจบนแผนที่ ภัยคุกคามที่อาจเกิดขึ้น (และบล็อกเกอร์ด้านความปลอดภัยของข้อมูลมักถูกขอให้อธิบาย)
คุณเคยได้ยินเกี่ยวกับ เต่าทะเล ? นี่เป็นแคมเปญที่กำลังดำเนินอยู่โดยกลุ่มอาชญากรไซเบอร์ ซึ่งมีแนวโน้มว่าจะได้รับการสนับสนุนจากรัฐ เพื่อจี้เซิร์ฟเวอร์ DNS ที่ถูกต้องตามกฎหมายเพื่อเปลี่ยนเส้นทางคำขอ DNS ไปยังเซิร์ฟเวอร์ของตนเอง ซึ่งหมายความว่าองค์กรต่างๆ จะได้รับที่อยู่ IP "ที่ไม่ดี" ซึ่งชี้ไปยังหน้าเว็บปลอมที่แฮ็กเกอร์ดำเนินการ เช่น Google หรือ FedEx ในเวลาเดียวกัน ผู้โจมตีจะสามารถรับบัญชีผู้ใช้และรหัสผ่านซึ่งจะป้อนข้อมูลเหล่านั้นลงในไซต์ปลอมดังกล่าวโดยไม่รู้ตัว นี่ไม่ใช่การทันเนล DNS แต่เป็นเพียงผลลัพธ์ที่โชคร้ายอีกประการหนึ่งของแฮกเกอร์ที่ควบคุมเซิร์ฟเวอร์ DNS
ภัยคุกคามจากอุโมงค์ DNS
การขุดอุโมงค์ DNS เปรียบเสมือนตัวบ่งชี้จุดเริ่มต้นของช่วงข่าวร้าย อันไหน? เราได้พูดคุยเกี่ยวกับหลายเรื่องแล้ว แต่มาจัดโครงสร้างกัน:
เอาต์พุตข้อมูล (การกรอง) – แฮกเกอร์แอบส่งข้อมูลสำคัญผ่าน DNS นี่ไม่ใช่วิธีที่มีประสิทธิภาพที่สุดในการถ่ายโอนข้อมูลจากคอมพิวเตอร์ของเหยื่อโดยคำนึงถึงค่าใช้จ่ายและการเข้ารหัสทั้งหมด แต่ใช้งานได้และในเวลาเดียวกัน - อย่างลับๆ!
ที่ การวิเคราะห์โหลด ฝ่ายที่ปกป้องจะมองหาความผิดปกติในข้อมูลที่ส่งไปมาซึ่งสามารถตรวจพบได้โดยวิธีการทางสถิติ: ชื่อโฮสต์ที่ดูแปลกตา ประเภทบันทึก DNS ที่ไม่ได้ใช้บ่อยนัก หรือการเข้ารหัสที่ไม่ได้มาตรฐาน
ที่ การวิเคราะห์การจราจร จำนวนคำขอ DNS ไปยังแต่ละโดเมนเป็นการประเมินโดยเปรียบเทียบกับค่าเฉลี่ยทางสถิติ ผู้โจมตีที่ใช้อุโมงค์ DNS จะสร้างการรับส่งข้อมูลจำนวนมากไปยังเซิร์ฟเวอร์ ตามทฤษฎีแล้ว เหนือกว่าการแลกเปลี่ยนข้อความ DNS ปกติอย่างมาก และสิ่งนี้จะต้องได้รับการตรวจสอบ!
ประกอบ_dns อีกครั้ง – ยูทิลิตี้ Python ที่อ่านไฟล์ .pcap และวิเคราะห์ข้อความ DNS
คำถามที่พบบ่อยแบบไมโครเกี่ยวกับ DNS tunneling
ข้อมูลที่เป็นประโยชน์ในรูปแบบคำถามและคำตอบ!
ถาม: การขุดอุโมงค์คืออะไร? เกี่ยวกับ: Это просто способ передачи данных поверх существующего протокола. Лежащий в основе протокол обеспечивает выделенный канал или туннель, который потом используется для сокрытия информации, передающейся в действительности.
ถาม: การโจมตีอุโมงค์ DNS ครั้งแรกเกิดขึ้นเมื่อใด เกี่ยวกับ: พวกเราไม่รู้! หากคุณทราบกรุณาแจ้งให้เราทราบ เท่าที่เราทราบ การสนทนาครั้งแรกเกี่ยวกับการโจมตีเริ่มต้นโดย Oscar Piersan ในรายชื่ออีเมล Bugtraq ในเดือนเมษายน 1998
ถาม: การโจมตีแบบใดที่คล้ายกับ DNS tunneling เกี่ยวกับ: DNS อยู่ไกลจากโปรโตคอลเดียวที่สามารถใช้สำหรับการขุดอุโมงค์ได้ ตัวอย่างเช่น มัลแวร์ command and control (C2) มักใช้ HTTP เพื่อปกปิดช่องทางการสื่อสาร เช่นเดียวกับการขุดอุโมงค์ DNS แฮ็กเกอร์จะซ่อนข้อมูลของเขา แต่ในกรณีนี้ ดูเหมือนว่าการรับส่งข้อมูลจากเว็บเบราว์เซอร์ทั่วไปที่เข้าถึงไซต์ระยะไกล (ควบคุมโดยผู้โจมตี) สิ่งนี้อาจไม่มีใครสังเกตเห็นโดยโปรแกรมตรวจสอบหากไม่ได้รับการกำหนดค่าให้รับรู้ ภัยคุกคาม การใช้โปรโตคอล HTTP ในทางที่ผิดเพื่อวัตถุประสงค์ของแฮ็กเกอร์
คุณต้องการให้เราช่วยเหลือในการตรวจหาอุโมงค์ DNS หรือไม่? ตรวจสอบโมดูลของเรา วาโรนิส เอดจ์ และทดลองใช้ฟรี การสาธิต!