Đường hầm DNS biến hệ thống tên miền thành vũ khí cho tin tặc. DNS về cơ bản là danh bạ điện thoại khổng lồ của Internet. DNS cũng là giao thức cơ bản cho phép quản trị viên truy vấn cơ sở dữ liệu máy chủ DNS. Cho đến nay mọi thứ có vẻ rõ ràng. Nhưng những hacker xảo quyệt nhận ra rằng chúng có thể bí mật liên lạc với máy tính nạn nhân bằng cách đưa các lệnh điều khiển và dữ liệu vào giao thức DNS. Ý tưởng này là cơ sở của đường hầm DNS.
Cách hoạt động của đường hầm DNS
Mọi thứ trên Internet đều có giao thức riêng. Và hỗ trợ DNS tương đối đơn giản loại yêu cầu-phản hồi. Nếu muốn xem nó hoạt động như thế nào, bạn có thể chạy nslookup, công cụ chính để thực hiện truy vấn DNS. Bạn có thể yêu cầu một địa chỉ bằng cách chỉ định tên miền mà bạn quan tâm, ví dụ:
Trong trường hợp của chúng tôi, giao thức phản hồi bằng địa chỉ IP của miền. Về giao thức DNS, tôi đã thực hiện một yêu cầu địa chỉ hay còn gọi là yêu cầu. "Một loại. Có nhiều loại yêu cầu khác và giao thức DNS sẽ phản hồi bằng một tập hợp trường dữ liệu khác, như chúng ta sẽ thấy sau, có thể bị tin tặc khai thác.
Bằng cách này hay cách khác, về cốt lõi, giao thức DNS liên quan đến việc truyền yêu cầu đến máy chủ và phản hồi của nó trở lại máy khách. Điều gì sẽ xảy ra nếu kẻ tấn công thêm một thông báo ẩn bên trong yêu cầu tên miền? Ví dụ: thay vì nhập một URL hoàn toàn hợp pháp, anh ta sẽ nhập dữ liệu muốn truyền:
Giả sử kẻ tấn công kiểm soát máy chủ DNS. Sau đó, nó có thể truyền dữ liệu—chẳng hạn như dữ liệu cá nhân—mà không nhất thiết phải bị phát hiện. Rốt cuộc, tại sao một truy vấn DNS đột nhiên trở thành thứ gì đó bất hợp pháp?
Bằng cách kiểm soát máy chủ, tin tặc có thể giả mạo phản hồi và gửi dữ liệu trở lại hệ thống mục tiêu. Điều này cho phép chúng chuyển các thông báo ẩn trong các trường khác nhau của phản hồi DNS tới phần mềm độc hại trên máy bị nhiễm, với các hướng dẫn như tìm kiếm bên trong một thư mục cụ thể.
Phần "đào hầm" của cuộc tấn công này là dữ liệu và lệnh từ việc phát hiện bởi hệ thống giám sát. Tin tặc có thể sử dụng bộ ký tự base32, base64, v.v. hoặc thậm chí mã hóa dữ liệu. Mã hóa như vậy sẽ không bị phát hiện bởi các tiện ích phát hiện mối đe dọa đơn giản tìm kiếm bản rõ.
Và đây là đường hầm DNS!
Lịch sử các cuộc tấn công đường hầm DNS
Mọi thứ đều có sự khởi đầu, bao gồm cả ý tưởng chiếm quyền điều khiển giao thức DNS nhằm mục đích hack. Theo những gì chúng tôi có thể nói, điều đầu tiên Cuộc tấn công này được Oskar Pearson thực hiện trên danh sách gửi thư của Bugtraq vào tháng 1998 năm XNUMX.
Đến năm 2004, đường hầm DNS được giới thiệu tại Black Hat như một kỹ thuật hack trong bài thuyết trình của Dan Kaminsky. Vì vậy, ý tưởng này nhanh chóng phát triển thành một công cụ tấn công thực sự.
Ngày nay, đường hầm DNS chiếm một vị trí tự tin trên bản đồ (và các blogger bảo mật thông tin thường được yêu cầu giải thích).
Bạn đã nghe về ? Đây là một chiến dịch đang diễn ra của các nhóm tội phạm mạng—rất có thể được nhà nước bảo trợ—nhằm chiếm quyền điều khiển các máy chủ DNS hợp pháp nhằm chuyển hướng các yêu cầu DNS đến máy chủ của chính chúng. Điều này có nghĩa là các tổ chức sẽ nhận được các địa chỉ IP "xấu" trỏ đến các trang web giả mạo do tin tặc điều hành, chẳng hạn như Google hoặc FedEx. Đồng thời, những kẻ tấn công sẽ có thể lấy được tài khoản người dùng và mật khẩu, những người này sẽ vô tình nhập chúng vào các trang web giả mạo như vậy. Đây không phải là đường hầm DNS mà chỉ là một hậu quả đáng tiếc khác của việc tin tặc kiểm soát máy chủ DNS.
Các mối đe dọa đường hầm DNS
Đường hầm DNS giống như một dấu hiệu báo hiệu sự bắt đầu của giai đoạn tin xấu. Những cái nào? Chúng ta đã nói về một số vấn đề rồi, nhưng hãy cấu trúc chúng lại:
- Đầu ra dữ liệu (exfilter) – một hacker bí mật truyền dữ liệu quan trọng qua DNS. Đây chắc chắn không phải là cách hiệu quả nhất để truyền thông tin từ máy tính nạn nhân - có tính đến tất cả chi phí và mã hóa - nhưng nó hoạt động, đồng thời - một cách bí mật!
- Chỉ huy và Kiểm soát (viết tắt C2) – tin tặc sử dụng giao thức DNS để gửi các lệnh điều khiển đơn giản thông qua, chẳng hạn như, (Trojan truy cập từ xa, viết tắt RAT).
- Đường hầm IP-Over-DNS - Điều này nghe có vẻ điên rồ nhưng có những tiện ích triển khai ngăn xếp IP bên trên các yêu cầu và phản hồi giao thức DNS. Nó thực hiện truyền dữ liệu bằng FTP, Netcat, ssh, v.v. một nhiệm vụ tương đối đơn giản. Cực kỳ đáng ngại!
Phát hiện đường hầm DNS
Có hai phương pháp chính để phát hiện lạm dụng DNS: phân tích tải và phân tích lưu lượng.
Khi phân tích tải Bên bào chữa tìm kiếm những điểm bất thường trong dữ liệu được gửi qua lại có thể được phát hiện bằng các phương pháp thống kê: tên máy chủ trông lạ, loại bản ghi DNS không được sử dụng thường xuyên hoặc mã hóa không chuẩn.
Khi phân tích lưu lượng truy cập số lượng yêu cầu DNS tới từng miền được ước tính so với mức trung bình thống kê. Những kẻ tấn công sử dụng đường hầm DNS sẽ tạo ra một lượng lớn lưu lượng truy cập đến máy chủ. Về lý thuyết, vượt trội hơn đáng kể so với việc trao đổi tin nhắn DNS thông thường. Và điều này cần phải được theo dõi!
Tiện ích đường hầm DNS
Nếu bạn muốn tiến hành pentest của riêng mình và xem công ty của bạn có thể phát hiện và phản hồi hoạt động đó tốt đến mức nào, thì có một số tiện ích cho việc này. Tất cả chúng đều có thể tạo đường hầm ở chế độ IP-qua-DNS:
- – có sẵn trên nhiều nền tảng (Linux, Mac OS, FreeBSD và Windows). Cho phép bạn cài đặt shell SSH giữa máy tính mục tiêu và máy tính điều khiển. Nó là cái tốt về việc thiết lập và sử dụng Iodine.
- – Dự án đường hầm DNS của Dan Kaminsky, viết bằng Perl. Bạn có thể kết nối với nó thông qua SSH.
- - “Đường hầm DNS không làm bạn phát ốm.” Tạo kênh C2 được mã hóa để gửi/tải xuống tệp, khởi chạy shell, v.v.
Tiện ích giám sát DNS
Dưới đây là danh sách một số tiện ích sẽ hữu ích cho việc phát hiện các cuộc tấn công đào hầm:
- – Mô-đun Python được viết cho MercenaryHuntFramework và Mercenary-Linux. Đọc tệp .pcap, trích xuất truy vấn DNS và thực hiện ánh xạ định vị địa lý để hỗ trợ phân tích.
- – tiện ích Python đọc tệp .pcap và phân tích thông báo DNS.
Câu hỏi thường gặp về đường hầm DNS
Thông tin hữu ích dưới dạng câu hỏi và câu trả lời!
Hỏi: Đường hầm là gì?
О: Nó chỉ đơn giản là một cách để truyền dữ liệu qua một giao thức hiện có. Giao thức cơ bản cung cấp một kênh hoặc đường hầm chuyên dụng, sau đó được sử dụng để ẩn thông tin thực sự được truyền đi.
Câu hỏi: Cuộc tấn công đường hầm DNS đầu tiên được thực hiện khi nào?
О: Chúng tôi không biết! Nếu bạn biết, xin vui lòng cho chúng tôi biết. Theo hiểu biết tốt nhất của chúng tôi, cuộc thảo luận đầu tiên về cuộc tấn công đã được Oscar Piersan khởi xướng trong danh sách gửi thư của Bugtraq vào tháng 1998 năm XNUMX.
Câu hỏi: Những cuộc tấn công nào tương tự như đường hầm DNS?
О: DNS không phải là giao thức duy nhất có thể được sử dụng để tạo đường hầm. Ví dụ: phần mềm độc hại ra lệnh và kiểm soát (C2) thường sử dụng HTTP để che giấu kênh liên lạc. Giống như đường hầm DNS, tin tặc ẩn dữ liệu của mình, nhưng trong trường hợp này, nó trông giống như lưu lượng truy cập từ một trình duyệt web thông thường truy cập vào một trang web từ xa (do kẻ tấn công kiểm soát). Điều này có thể không được các chương trình giám sát chú ý nếu chúng không được cấu hình để nhận biết lạm dụng giao thức HTTP cho mục đích hacker.
Bạn có muốn chúng tôi trợ giúp phát hiện đường hầm DNS không? Kiểm tra mô-đun của chúng tôi và dùng thử miễn phí !
Nguồn: www.habr.com