DNS tunnellash domen nomi tizimini xakerlar uchun qurolga aylantiradi. DNS aslida Internetning katta telefon kitobidir. DNS, shuningdek, ma'murlarga DNS server ma'lumotlar bazasini so'rashga imkon beruvchi asosiy protokoldir. Hozircha hamma narsa aniq ko'rinadi. Ammo ayyor xakerlar DNS protokoliga boshqaruv buyruqlari va ma’lumotlarni kiritish orqali jabrlanuvchi kompyuter bilan yashirincha muloqot qilishlari mumkinligini anglab yetdi. Ushbu g'oya DNS tunnelining asosidir.
DNS tunnel qanday ishlaydi
Internetdagi hamma narsa o'zining alohida protokoliga ega. Va DNS-ni qo'llab-quvvatlash nisbatan oddiy so'rov-javob turi. Agar siz uning qanday ishlashini ko'rishni istasangiz, DNS so'rovlarini bajarish uchun asosiy vosita bo'lgan nslookup-ni ishga tushirishingiz mumkin. Siz shunchaki qiziqqan domen nomini ko'rsatish orqali manzilni so'rashingiz mumkin, masalan:
Bizning holatlarimizda protokol domen IP manzili bilan javob berdi. DNS protokoli nuqtai nazaridan men manzil so'rovi yoki so'rov deb ataladigan so'rovni qildim. "A" turi. So'rovlarning boshqa turlari ham mavjud va DNS protokoli boshqa ma'lumotlar maydonlari to'plami bilan javob beradi, bundan keyin ko'rib chiqamiz, xakerlar tomonidan ishlatilishi mumkin.
Qanday bo'lmasin, DNS protokoli serverga so'rovni yuborish va mijozga javob berish bilan bog'liq. Agar tajovuzkor domen nomi so'roviga yashirin xabar qo'shsa nima bo'ladi? Misol uchun, u butunlay qonuniy URL manzilini kiritish o'rniga, u uzatmoqchi bo'lgan ma'lumotlarni kiritadi:
Aytaylik, tajovuzkor DNS serverini boshqaradi. Keyin u ma'lumotlarni, masalan, shaxsiy ma'lumotlarni - aniqlanmasdan uzatishi mumkin. Axir, nima uchun DNS so'rovi to'satdan noqonuniy narsaga aylanadi?
Serverni boshqarish orqali xakerlar javoblarni soxtalashtirishi va ma'lumotlarni maqsadli tizimga qaytarishi mumkin. Bu ularga virusli kompyuterdagi zararli dasturga DNS javobining turli sohalarida yashiringan xabarlarni ma'lum bir papka ichida qidirish kabi ko'rsatmalar bilan uzatish imkonini beradi.
Ushbu hujumning "tunnel" qismi monitoring tizimlari tomonidan aniqlashdan olingan ma'lumotlar va buyruqlar. Xakerlar base32, base64 va hokazo belgilar to‘plamidan foydalanishi yoki hatto ma’lumotlarni shifrlashi mumkin. Bunday kodlash oddiy matnni qidiradigan tahdidlarni aniqlash yordam dasturlari tomonidan aniqlanmasdan o'tadi.
Va bu DNS tunnel!
DNS tunnel hujumlari tarixi
Har bir narsaning boshlanishi bor, shu jumladan DNS protokolini xakerlik maqsadida o'g'irlash g'oyasi. Aytishimiz mumkinki, birinchi Ushbu hujum 1998 yil aprel oyida Bugtraq pochta ro'yxatida Oskar Pirson tomonidan amalga oshirildi.
2004 yilga kelib, DNS tunnellash Black Hat-da Dan Kaminskiy taqdimotida xakerlik texnikasi sifatida taqdim etildi. Shunday qilib, g'oya tezda haqiqiy hujum vositasiga aylandi.
Bugungi kunda DNS tunnellash xaritada ishonchli o'rinni egallaydi (va axborot xavfsizligi bloggerlaridan ko'pincha buni tushuntirish so'raladi).
haqida eshitganmisiz ? Bu kiberjinoyatchi guruhlarning DNS so'rovlarini o'z serverlariga yo'naltirish uchun qonuniy DNS serverlarini o'g'irlash bo'yicha davom etayotgan kampaniyasi, ehtimol davlat tomonidan homiylik qilinadi. Bu shuni anglatadiki, tashkilotlar Google yoki FedEx kabi xakerlar tomonidan boshqariladigan soxta veb-sahifalarga ishora qiluvchi "yomon" IP manzillarni oladi. Shu bilan birga, tajovuzkorlar foydalanuvchi akkauntlari va parollarni olishlari mumkin bo'ladi, ular o'zlari bilmagan holda bunday soxta saytlarga kiritadilar. Bu DNS tunnellash emas, balki DNS serverlarini boshqaradigan xakerlarning yana bir baxtsiz oqibati.
DNS tunnel tahdidlari
DNS tunnellari yomon yangiliklar bosqichining boshlanishining ko'rsatkichiga o'xshaydi. Qaysilari? Biz allaqachon bir nechtasi haqida gapirgan edik, ammo keling, ularni tuzamiz:
- Ma'lumot chiqishi (eksfiltratsiya) – xaker muhim ma’lumotlarni DNS orqali yashirincha uzatadi. Bu, albatta, jabrlanuvchi kompyuteridan ma'lumotlarni uzatishning eng samarali usuli emas - barcha xarajatlar va kodlashlarni hisobga olgan holda - lekin u ishlaydi va shu bilan birga - yashirincha!
- Buyruq va boshqaruv (qisqartirilgan C2) - xakerlar oddiy boshqaruv buyruqlarini yuborish uchun DNS protokolidan foydalanadilar, masalan: (Remote Access Trojan, qisqartirilgan RAT).
- IP-DNS orqali tunnel qilish - Bu aqldan ozgandek tuyulishi mumkin, ammo DNS protokoli so'rovlari va javoblari ustiga IP stekini qo'llaydigan yordamchi dasturlar mavjud. FTP, Netcat, ssh va boshqalar yordamida ma'lumotlarni uzatishni amalga oshiradi. nisbatan oddiy vazifa. Juda dahshatli!
DNS tunnelini aniqlash
DNS suiiste'molini aniqlashning ikkita asosiy usuli mavjud: yuk tahlili va trafik tahlili.
da yuk tahlili Himoyachi tomon oldinga va orqaga yuborilgan ma'lumotlarda statistik usullar bilan aniqlanishi mumkin bo'lgan anomaliyalarni qidiradi: g'alati ko'rinishdagi xost nomlari, tez-tez ishlatilmaydigan DNS yozuvi turi yoki nostandart kodlash.
da transport tahlili Har bir domenga DNS so'rovlari soni o'rtacha statistik ko'rsatkichga nisbatan taxmin qilinadi. DNS tunnelidan foydalanadigan tajovuzkorlar serverga katta miqdordagi trafikni keltirib chiqaradi. Nazariy jihatdan, oddiy DNS xabar almashinuvidan sezilarli darajada ustundir. Va buni kuzatib borish kerak!
DNS tunneling yordamchi dasturlari
Agar siz o'zingizning pentestingizni o'tkazmoqchi bo'lsangiz va kompaniyangiz bunday faoliyatni qanchalik yaxshi aniqlashi va javob berishini ko'rishni istasangiz, buning uchun bir nechta yordamchi dasturlar mavjud. Ularning barchasi rejimda tunnel qilishlari mumkin DNS orqali IP:
- – ko‘plab platformalarda (Linux, Mac OS, FreeBSD va Windows) mavjud. Maqsadli va boshqaruvchi kompyuterlar o'rtasida SSH qobig'ini o'rnatish imkonini beradi. Bu yaxshi yodni o'rnatish va ishlatish bo'yicha.
- – Perlda yozilgan Dan Kaminskiyning DNS tunnel loyihasi. Siz unga SSH orqali ulanishingiz mumkin.
- - "Sizni kasal qilmaydigan DNS tunneli." Fayllarni yuborish/yuklab olish, qobiqlarni ishga tushirish va hokazolar uchun shifrlangan C2 kanalini yaratadi.
DNS monitoringi uchun yordamchi dasturlar
Quyida tunnel hujumlarini aniqlash uchun foydali bo'lgan bir nechta yordamchi dasturlar ro'yxati keltirilgan:
- – MercenaryHuntFramework va Mercenary-Linux uchun yozilgan Python moduli. .pcap fayllarini o'qiydi, DNS so'rovlarini chiqaradi va tahlilga yordam berish uchun geolokatsiya xaritasini amalga oshiradi.
- – .pcap fayllarini o‘qiydigan va DNS xabarlarini tahlil qiluvchi Python yordam dasturi.
DNS tunneliga oid mikro tez-tez so'raladigan savollar
Savol-javob ko'rinishidagi foydali ma'lumotlar!
Savol: Tunnel qazish nima?
Haqida: Bu mavjud protokol orqali ma'lumotlarni uzatishning oddiy usuli. Asosiy protokol maxsus kanal yoki tunnelni taqdim etadi, keyinchalik u haqiqatda uzatilayotgan ma'lumotni yashirish uchun ishlatiladi.
Savol: Birinchi DNS tunnel hujumi qachon amalga oshirilgan?
Haqida: Biz bilmaymiz! Agar bilsangiz, bizga xabar bering. Bizning bilganimizdek, hujumning birinchi muhokamasi 1998 yil aprel oyida Bugtraq pochta ro'yxatida Oskar Pirsan tomonidan boshlangan.
Savol: DNS tunneliga qanday hujumlar o'xshaydi?
Haqida: DNS tunnel qilish uchun ishlatilishi mumkin bo'lgan yagona protokoldan uzoqdir. Masalan, buyruq va boshqaruv (C2) zararli dasturi aloqa kanalini maskalash uchun ko'pincha HTTP dan foydalanadi. DNS tunnelida bo'lgani kabi, xaker o'z ma'lumotlarini yashiradi, ammo bu holda u oddiy veb-brauzerdan uzoq saytga kirishga o'xshaydi (tajovuzkor tomonidan boshqariladi). Agar ular idrok qilish uchun sozlanmagan bo'lsa, bu monitoring dasturlari tomonidan e'tiborga olinmasligi mumkin xakerlik maqsadlarida HTTP protokolini suiiste'mol qilish.
DNS tunnelini aniqlashda yordam berishimizni xohlaysizmi? Bizning modulimizni ko'rib chiqing va uni bepul sinab ko'ring !
Manba: www.habr.com