การขุดอุโมงค์ DNS เปลี่ยนระบบชื่อโดเมนให้เป็นอาวุธสำหรับแฮกเกอร์ DNS ถือเป็นสมุดโทรศัพท์ขนาดใหญ่ของอินเทอร์เน็ต DNS ยังเป็นโปรโตคอลพื้นฐานที่ช่วยให้ผู้ดูแลระบบสามารถสืบค้นฐานข้อมูลเซิร์ฟเวอร์ DNS ได้ จนถึงตอนนี้ทุกอย่างดูเหมือนชัดเจน แต่แฮกเกอร์เจ้าเล่ห์ตระหนักว่าพวกเขาสามารถสื่อสารกับคอมพิวเตอร์ของเหยื่ออย่างลับๆ ได้โดยการฉีดคำสั่งควบคุมและข้อมูลลงในโปรโตคอล DNS แนวคิดนี้เป็นพื้นฐานของการทันเนล DNS
DNS tunneling ทำงานอย่างไร
ทุกสิ่งบนอินเทอร์เน็ตมีโปรโตคอลของตัวเองแยกต่างหาก และการรองรับ DNS นั้นค่อนข้างง่าย ประเภทการร้องขอการตอบกลับ หากคุณต้องการดูวิธีการทำงาน คุณสามารถเรียกใช้ nslookup ซึ่งเป็นเครื่องมือหลักในการสืบค้น DNS คุณสามารถขอที่อยู่ได้โดยเพียงระบุชื่อโดเมนที่คุณสนใจ เช่น:
ในกรณีของเรา โปรโตคอลตอบกลับด้วยที่อยู่ IP ของโดเมน ในแง่ของโปรโตคอล DNS ฉันได้ส่งคำขอที่อยู่หรือคำขอที่เรียกว่า "ประเภท. มีคำขอประเภทอื่น ๆ และโปรโตคอล DNS จะตอบสนองด้วยชุดข้อมูลชุดอื่นซึ่งแฮกเกอร์สามารถนำไปใช้ประโยชน์ได้ดังที่เราจะเห็นในภายหลัง
ไม่ทางใดก็ทางหนึ่ง ที่สำคัญ โปรโตคอล DNS เกี่ยวข้องกับการส่งคำขอไปยังเซิร์ฟเวอร์และการตอบกลับไปยังไคลเอนต์ จะเกิดอะไรขึ้นหากผู้โจมตีเพิ่มข้อความที่ซ่อนอยู่ในคำขอชื่อโดเมน? ตัวอย่างเช่น แทนที่จะป้อน URL ที่ถูกต้องตามกฎหมาย เขาจะป้อนข้อมูลที่ต้องการส่ง:
สมมติว่าผู้โจมตีควบคุมเซิร์ฟเวอร์ DNS จากนั้นจะสามารถส่งข้อมูล เช่น ข้อมูลส่วนบุคคล โดยไม่จำเป็นต้องตรวจพบ ท้ายที่สุดแล้ว เหตุใดการสืบค้น DNS จึงกลายเป็นสิ่งผิดกฎหมายในทันที
ด้วยการควบคุมเซิร์ฟเวอร์ แฮกเกอร์สามารถปลอมแปลงการตอบสนองและส่งข้อมูลกลับไปยังระบบเป้าหมายได้ ซึ่งช่วยให้พวกเขาสามารถส่งข้อความที่ซ่อนอยู่ในช่องต่างๆ ของการตอบสนอง DNS ไปยังมัลแวร์บนเครื่องที่ติดไวรัส พร้อมคำแนะนำ เช่น การค้นหาภายในโฟลเดอร์เฉพาะ
ส่วน "การขุดอุโมงค์" ของการโจมตีนี้คือ ข้อมูลและคำสั่งจากการตรวจจับโดยระบบติดตาม แฮกเกอร์สามารถใช้ชุดอักขระ base32, base64 ฯลฯ หรือแม้แต่เข้ารหัสข้อมูลได้ การเข้ารหัสดังกล่าวจะตรวจไม่พบโดยโปรแกรมอรรถประโยชน์การตรวจจับภัยคุกคามแบบธรรมดาที่ค้นหาข้อความธรรมดา
และนี่คืออุโมงค์ DNS!
ประวัติการโจมตี DNS tunneling
ทุกอย่างมีจุดเริ่มต้น รวมถึงแนวคิดในการไฮแจ็กโปรโตคอล DNS เพื่อจุดประสงค์ในการแฮ็ก เท่าที่เราสามารถบอกได้ครั้งแรก การโจมตีนี้ดำเนินการโดย Oskar Pearson ในรายชื่อผู้รับจดหมาย Bugtraq ในเดือนเมษายน พ.ศ. 1998
ภายในปี 2004 มีการนำ DNS tunneling มาใช้ที่ Black Hat ซึ่งเป็นเทคนิคการแฮ็กในการนำเสนอโดย Dan Kaminsky ดังนั้นแนวคิดจึงเติบโตอย่างรวดเร็วจนกลายเป็นเครื่องมือโจมตีที่แท้จริง
ปัจจุบัน DNS tunneling ครองตำแหน่งที่มั่นใจบนแผนที่ (และบล็อกเกอร์ด้านความปลอดภัยของข้อมูลมักถูกขอให้อธิบาย)
คุณเคยได้ยินเกี่ยวกับ ? นี่เป็นแคมเปญที่กำลังดำเนินอยู่โดยกลุ่มอาชญากรไซเบอร์ ซึ่งมีแนวโน้มว่าจะได้รับการสนับสนุนจากรัฐ เพื่อจี้เซิร์ฟเวอร์ DNS ที่ถูกต้องตามกฎหมายเพื่อเปลี่ยนเส้นทางคำขอ DNS ไปยังเซิร์ฟเวอร์ของตนเอง ซึ่งหมายความว่าองค์กรต่างๆ จะได้รับที่อยู่ IP "ที่ไม่ดี" ซึ่งชี้ไปยังหน้าเว็บปลอมที่แฮ็กเกอร์ดำเนินการ เช่น Google หรือ FedEx ในเวลาเดียวกัน ผู้โจมตีจะสามารถรับบัญชีผู้ใช้และรหัสผ่านซึ่งจะป้อนข้อมูลเหล่านั้นลงในไซต์ปลอมดังกล่าวโดยไม่รู้ตัว นี่ไม่ใช่การทันเนล DNS แต่เป็นเพียงผลลัพธ์ที่โชคร้ายอีกประการหนึ่งของแฮกเกอร์ที่ควบคุมเซิร์ฟเวอร์ DNS
ภัยคุกคามจากอุโมงค์ DNS
การขุดอุโมงค์ DNS เปรียบเสมือนตัวบ่งชี้จุดเริ่มต้นของช่วงข่าวร้าย อันไหน? เราได้พูดคุยเกี่ยวกับหลายเรื่องแล้ว แต่มาจัดโครงสร้างกัน:
- เอาต์พุตข้อมูล (การกรอง) – แฮกเกอร์แอบส่งข้อมูลสำคัญผ่าน DNS นี่ไม่ใช่วิธีที่มีประสิทธิภาพที่สุดในการถ่ายโอนข้อมูลจากคอมพิวเตอร์ของเหยื่อโดยคำนึงถึงค่าใช้จ่ายและการเข้ารหัสทั้งหมด แต่ใช้งานได้และในเวลาเดียวกัน - อย่างลับๆ!
- การสั่งการและการควบคุม (ตัวย่อ C2) – แฮกเกอร์ใช้โปรโตคอล DNS เพื่อส่งคำสั่งควบคุมง่ายๆ ผ่าน เช่น (โทรจันการเข้าถึงระยะไกล ย่อว่า RAT)
- อุโมงค์ IP-Over-DNS - อาจฟังดูบ้า แต่มีโปรแกรมอรรถประโยชน์ที่ใช้ IP stack นอกเหนือจากคำขอและการตอบกลับโปรโตคอล DNS ทำให้การถ่ายโอนข้อมูลโดยใช้ FTP, Netcat, ssh ฯลฯ เป็นงานที่ค่อนข้างง่าย ลางร้ายมาก!
การตรวจจับอุโมงค์ DNS
มีสองวิธีหลักในการตรวจหาการละเมิด DNS: การวิเคราะห์โหลดและการวิเคราะห์การรับส่งข้อมูล
ที่ การวิเคราะห์โหลด ฝ่ายที่ปกป้องจะมองหาความผิดปกติในข้อมูลที่ส่งไปมาซึ่งสามารถตรวจพบได้โดยวิธีการทางสถิติ: ชื่อโฮสต์ที่ดูแปลกตา ประเภทบันทึก DNS ที่ไม่ได้ใช้บ่อยนัก หรือการเข้ารหัสที่ไม่ได้มาตรฐาน
ที่ การวิเคราะห์การจราจร จำนวนคำขอ DNS ไปยังแต่ละโดเมนเป็นการประเมินโดยเปรียบเทียบกับค่าเฉลี่ยทางสถิติ ผู้โจมตีที่ใช้อุโมงค์ DNS จะสร้างการรับส่งข้อมูลจำนวนมากไปยังเซิร์ฟเวอร์ ตามทฤษฎีแล้ว เหนือกว่าการแลกเปลี่ยนข้อความ DNS ปกติอย่างมาก และสิ่งนี้จะต้องได้รับการตรวจสอบ!
ยูทิลิตี้การทันเนล DNS
หากคุณต้องการดำเนินการ Pentest ของคุณเองและดูว่าบริษัทของคุณสามารถตรวจจับและตอบสนองต่อกิจกรรมดังกล่าวได้ดีเพียงใด มียูทิลิตี้หลายอย่างสำหรับสิ่งนี้ พวกเขาทั้งหมดสามารถขุดอุโมงค์ในโหมดได้ IP-Over-DNS:
- – ใช้งานได้บนหลายแพลตฟอร์ม (Linux, Mac OS, FreeBSD และ Windows) ช่วยให้คุณติดตั้งเชลล์ SSH ระหว่างเป้าหมายและคอมพิวเตอร์ควบคุม นั่นเป็นสิ่งที่ดี ในการตั้งค่าและใช้ไอโอดีน
- – โครงการอุโมงค์ DNS จาก Dan Kaminsky เขียนด้วยภาษา Perl คุณสามารถเชื่อมต่อผ่าน SSH
- - “อุโมงค์ DNS ที่ไม่ทำให้คุณป่วย” สร้างช่องสัญญาณ C2 ที่เข้ารหัสสำหรับการส่ง/ดาวน์โหลดไฟล์ การเรียกใช้เชลล์ ฯลฯ
ยูทิลิตี้ตรวจสอบ DNS
ด้านล่างนี้คือรายการยูทิลิตี้ต่างๆ ที่จะเป็นประโยชน์สำหรับการตรวจจับการโจมตีแบบทันเนล:
- – โมดูล Python ที่เขียนขึ้นสำหรับ MercenaryHuntFramework และ Mercenary-Linux อ่านไฟล์ .pcap แยกคำค้นหา DNS และดำเนินการแมปตำแหน่งทางภูมิศาสตร์เพื่อช่วยในการวิเคราะห์
- – ยูทิลิตี้ Python ที่อ่านไฟล์ .pcap และวิเคราะห์ข้อความ DNS
คำถามที่พบบ่อยแบบไมโครเกี่ยวกับ DNS tunneling
ข้อมูลที่เป็นประโยชน์ในรูปแบบคำถามและคำตอบ!
ถาม: การขุดอุโมงค์คืออะไร?
เกี่ยวกับ: Это просто способ передачи данных поверх существующего протокола. Лежащий в основе протокол обеспечивает выделенный канал или туннель, который потом используется для сокрытия информации, передающейся в действительности.
ถาม: การโจมตีอุโมงค์ DNS ครั้งแรกเกิดขึ้นเมื่อใด
เกี่ยวกับ: พวกเราไม่รู้! หากคุณทราบกรุณาแจ้งให้เราทราบ เท่าที่เราทราบ การสนทนาครั้งแรกเกี่ยวกับการโจมตีเริ่มต้นโดย Oscar Piersan ในรายชื่ออีเมล Bugtraq ในเดือนเมษายน 1998
ถาม: การโจมตีแบบใดที่คล้ายกับ DNS tunneling
เกี่ยวกับ: DNS อยู่ไกลจากโปรโตคอลเดียวที่สามารถใช้สำหรับการขุดอุโมงค์ได้ ตัวอย่างเช่น มัลแวร์ command and control (C2) มักใช้ HTTP เพื่อปกปิดช่องทางการสื่อสาร เช่นเดียวกับการขุดอุโมงค์ DNS แฮ็กเกอร์จะซ่อนข้อมูลของเขา แต่ในกรณีนี้ ดูเหมือนว่าการรับส่งข้อมูลจากเว็บเบราว์เซอร์ทั่วไปที่เข้าถึงไซต์ระยะไกล (ควบคุมโดยผู้โจมตี) สิ่งนี้อาจไม่มีใครสังเกตเห็นโดยโปรแกรมตรวจสอบหากไม่ได้รับการกำหนดค่าให้รับรู้ การใช้โปรโตคอล HTTP ในทางที่ผิดเพื่อวัตถุประสงค์ของแฮ็กเกอร์
คุณต้องการให้เราช่วยเหลือในการตรวจหาอุโมงค์ DNS หรือไม่? ตรวจสอบโมดูลของเรา และทดลองใช้ฟรี !
ที่มา: will.com