DNS tünelleme, alan adı sistemini bilgisayar korsanları için bir silaha dönüştürür. DNS aslında İnternet'in devasa telefon rehberidir. DNS aynı zamanda yöneticilerin DNS sunucusu veritabanını sorgulamasına olanak tanıyan temel protokoldür. Buraya kadar her şey açık görünüyor. Ancak kurnaz bilgisayar korsanları, DNS protokolüne kontrol komutları ve verileri enjekte ederek kurbanın bilgisayarıyla gizlice iletişim kurabileceklerini fark etti. Bu fikir DNS tünellemenin temelini oluşturur.
DNS tünelleme nasıl çalışır?
İnternetteki her şeyin kendine ait ayrı bir protokolü vardır. Ve DNS desteği nispeten basittir istek-yanıt türü. Nasıl çalıştığını görmek istiyorsanız, DNS sorguları yapmak için ana araç olan nslookup'ı çalıştırabilirsiniz. İlgilendiğiniz alan adını belirterek bir adres talep edebilirsiniz, örneğin:
Bizim durumumuzda protokol, alan IP adresiyle yanıt verdi. DNS protokolü açısından adres isteği ya da sözde istekte bulundum. "A" tipi. Başka tür istekler de vardır ve DNS protokolü, daha sonra göreceğimiz gibi, bilgisayar korsanları tarafından istismar edilebilecek farklı veri alanları kümesiyle yanıt verecektir.
Öyle ya da böyle, DNS protokolü özünde bir isteğin sunucuya iletilmesi ve bu isteğin yanıtının istemciye geri gönderilmesiyle ilgilidir. Bir saldırgan, alan adı isteğinin içine gizli bir mesaj eklerse ne olur? Örneğin tamamen meşru bir URL girmek yerine iletmek istediği verileri girecektir:
Bir saldırganın DNS sunucusunu kontrol ettiğini varsayalım. Daha sonra verileri (örneğin kişisel verileri) tespit edilmeye gerek kalmadan iletebilir. Sonuçta neden bir DNS sorgusu birdenbire gayri meşru bir şeye dönüşsün ki?
Bilgisayar korsanları, sunucuyu kontrol ederek yanıtları taklit edebilir ve verileri hedef sisteme geri gönderebilir. Bu, belirli bir klasör içinde arama yapma gibi talimatlarla, DNS yanıtının çeşitli alanlarında gizlenmiş mesajları, etkilenen makinedeki kötü amaçlı yazılıma iletmelerine olanak tanır.
Bu saldırının "tünel açma" kısmı İzleme sistemleri tarafından tespit edilen veriler ve komutlar. Bilgisayar korsanları base32, base64 vb. karakter setlerini kullanabilir, hatta verileri şifreleyebilir. Bu tür kodlama, düz metinde arama yapan basit tehdit algılama yardımcı programları tarafından fark edilmeden geçecektir.
Ve bu DNS tünellemesidir!
DNS tünelleme saldırılarının geçmişi
DNS protokolünü bilgisayar korsanlığı amacıyla ele geçirme fikri de dahil olmak üzere her şeyin bir başlangıcı vardır. Bildiğimiz kadarıyla ilk Bu saldırı, Nisan 1998'de Bugtraq posta listesindeki Oskar Pearson tarafından gerçekleştirildi.
2004 yılına gelindiğinde, DNS tünellemesi Black Hat'te Dan Kaminsky'nin bir sunumunda bir hackleme tekniği olarak tanıtıldı. Böylece fikir çok hızlı bir şekilde gerçek bir saldırı aracına dönüştü.
Günümüzde DNS tünellemesi haritada güvenilir bir konuma sahiptir (ve bilgi güvenliği blog yazarlarından sıklıkla bunu açıklamaları istenir).
duydun mu ? Bu, büyük olasılıkla devlet destekli siber suç gruplarının, DNS isteklerini kendi sunucularına yönlendirmek amacıyla meşru DNS sunucularını ele geçirmeye yönelik devam eden bir kampanyasıdır. Bu, kuruluşların Google veya FedEx gibi bilgisayar korsanları tarafından işletilen sahte web sayfalarına işaret eden "kötü" IP adresleri alacağı anlamına gelir. Aynı zamanda saldırganlar, bu tür sahte sitelere farkında olmadan girecek kullanıcı hesaplarını ve şifrelerini de ele geçirebilecekler. Bu, DNS tünellemesi değil, bilgisayar korsanlarının DNS sunucularını kontrol etmesinin başka bir talihsiz sonucudur.
DNS tünelleme tehditleri
DNS tünelleme kötü haber aşamasının başlangıcının bir göstergesi gibidir. Hangileri? Zaten birkaçından bahsettik, ama hadi bunları yapılandıralım:
- Veri çıkışı (sızma) – bir bilgisayar korsanı kritik verileri DNS üzerinden gizlice iletir. Bu, tüm maliyetler ve kodlamalar dikkate alındığında, kurbanın bilgisayarından bilgi aktarmanın kesinlikle en etkili yolu değildir, ancak çalışır ve aynı zamanda gizlice!
- Komuta ve Kontrol (kısaltılmış C2) – bilgisayar korsanları basit kontrol komutlarını göndermek için DNS protokolünü kullanır, örneğin: (Uzaktan Erişim Truva Atı, RAT olarak kısaltılır).
- DNS Üzerinden IP Tüneli - Bu çılgınca gelebilir, ancak DNS protokolü istekleri ve yanıtlarının üstüne bir IP yığını uygulayan yardımcı programlar vardır. FTP, Netcat, ssh vb. kullanarak veri aktarımı yapar. nispeten basit bir görev. Son derece kaygı verici!
DNS tünellemeyi algılama
DNS kötüye kullanımını tespit etmek için iki ana yöntem vardır: yük analizi ve trafik analizi.
at yük analizi Savunan taraf, ileri geri gönderilen verilerde istatistiksel yöntemlerle tespit edilebilecek anormallikleri arar: garip görünümlü ana bilgisayar adları, çok sık kullanılmayan bir DNS kayıt türü veya standart dışı kodlama.
at trafik analizi Her bir alana yönelik DNS isteklerinin sayısı, istatistiksel ortalamayla karşılaştırılarak tahmin edilir. DNS tünellemeyi kullanan saldırganlar, sunucuya büyük miktarda trafik oluşturacaktır. Teorik olarak normal DNS mesaj alışverişinden önemli ölçüde üstündür. Ve bunun takip edilmesi gerekiyor!
DNS tünelleme yardımcı programları
Kendi sızma testinizi yapmak ve şirketinizin bu tür etkinlikleri ne kadar iyi tespit edip yanıt verebileceğini görmek istiyorsanız, bunun için çeşitli yardımcı programlar vardır. Hepsi tünel açabilir DNS Üzerinden IP:
- – birçok platformda mevcuttur (Linux, Mac OS, FreeBSD ve Windows). Hedef ve kontrol bilgisayarları arasına bir SSH kabuğu kurmanıza olanak tanır. Bu iyi bir tanesi İyot kurulumu ve kullanımı hakkında.
- – Perl'de yazılmış, Dan Kaminsky'den DNS tünelleme projesi. SSH üzerinden bağlanabilirsiniz.
- - “Sizi hasta etmeyen DNS tüneli.” Dosya göndermek/indirmek, kabukları başlatmak vb. için şifrelenmiş bir C2 kanalı oluşturur.
DNS izleme yardımcı programları
Aşağıda tünel saldırılarını tespit etmede faydalı olacak çeşitli yardımcı programların listesi bulunmaktadır:
- – MercenaryHuntFramework ve Mercenary-Linux için yazılmış Python modülü. .pcap dosyalarını okur, DNS sorgularını çıkarır ve analize yardımcı olmak için coğrafi konum eşlemesi gerçekleştirir.
- – .pcap dosyalarını okuyan ve DNS mesajlarını analiz eden bir Python yardımcı programı.
DNS tünellemeyle ilgili Mikro SSS
Soru ve cevap şeklinde faydalı bilgiler!
S: Tünel açma nedir?
Hakkında: Bu sadece mevcut bir protokol üzerinden veri aktarmanın bir yoludur. Temel protokol, daha sonra gerçekte iletilen bilgiyi gizlemek için kullanılan özel bir kanal veya tünel sağlar.
S: İlk DNS tünelleme saldırısı ne zaman gerçekleştirildi?
Hakkında: Biz bilmiyoruz! Biliyorsanız lütfen bize bildirin. Bildiğimiz kadarıyla saldırıya ilişkin ilk tartışma, Nisan 1998'de Bugtraq posta listesinde Oscar Piersan tarafından başlatıldı.
S: Hangi saldırılar DNS tünellemeye benzer?
Hakkında: DNS, tünelleme için kullanılabilecek tek protokol olmaktan uzaktır. Örneğin, komuta ve kontrol (C2) kötü amaçlı yazılımları iletişim kanalını maskelemek için sıklıkla HTTP'yi kullanır. DNS tünellemede olduğu gibi, bilgisayar korsanı verilerini gizler, ancak bu durumda, uzak bir siteye (saldırgan tarafından kontrol edilen) erişen normal bir web tarayıcısından gelen trafiğe benzemektedir. Bu durum, eğer programlar algılayacak şekilde yapılandırılmamışsa, izleme programları tarafından fark edilmeyebilir. HTTP protokolünün hacker amaçları doğrultusunda kötüye kullanılması.
DNS tüneli tespitinde yardımcı olmamızı ister misiniz? Modülümüze göz atın ve ücretsiz deneyin !
Kaynak: habr.com