—просите про Asterisk в Telegram - чате

ћерион Ќетворкс

6 минут чтени€

¬се, кто так или иначе причастен к миру IT, точно слышал это слово из трех букв - DNS. Domain Name System это своего рода телефонный справочник, в котором указаны адреса всех веб-сайтов в интернете. “акже DNS это довольно простой протокол, работающий, как правило, через 53 порт и который используетс€ системными администраторами в буквально каждой сети - ну а куда без него? ¬ данной статье мы не будем подробно разбирать схему работы DNS и типа DNS серверов - это мы оставим на потом.

 аждый раз когда приложение или человек пытаетс€ попасть на какой-нибудь веб-сайт, DNS запрашивает в образном "телефонном справочнике" IP-адрес этого ресурса и отправл€ет вас по нужному адресу.

“емой этой статьи будет некорректное использование службы злоумышленниками: в какой-то момент умные товарищи пон€ли, что DNS также €вл€етс€ прекрасным вектором атаки и научились использовать DNS в цел€х передачи информации и команд на компьютер жертвы, и это, по сути €вл€етс€ основным принципом DNS туннелировани€.


ѕринцип работы DNS туннелировани€ на пальцах

ѕ€ть шагов DNS туннелировани€:

  1. «лоумышленник использует DNS дл€ маскировки вредоносных действий, т.к DNS трафик в 99,99% разрешен и не провер€етс€;
  2. ƒалее злодеи туннелирует другие протоколы (к примеру, http) через DNS
  3. ƒалее они туннелируют IP-трафик и передают украденную информацию
  4. ”краденную информаци€ снова преобразуют в удобный дл€ воспри€ти€ вид
  5. ”становленный туннель используют дл€ передачи вредоносного ѕќ

ќбратите внимание на скриншот - € запросил IP-адрес gismeteo.ru. ¬ терминах технологии DNS, вы сделали запрос типа ј (от слова Address). “ипов подобных запросов существует несколько, и чуть ниже € попробую это продемонстрировать.

„ем опасен DNS Tunneling?

¬ любом случае, под капотом у DNS работает проста€ схема клиентский запрос на сервер, который в свою очередь отвечает клиенту обратно. ј что если можно было бы "зашить" сообщение внутрь запроса?

ѕредставьте себе, что хакеры контролируют DNS сервер: в таком случае, они смогут просто собирать всю нужную информацию без риска оказатьс€ замеченными. ќп€ть же - как DNS запрос может быть нелегитимным? ¬се привыкли к тому, что эта служба работает всегда и не несет никакой угрозы. Ќо если служба оказалась скомпрометированной, злоумышленники могут фальсифицировать запросы и использовать информацию, скрытую в различных пол€х ответных пакетов дл€ контрол€ вредоносного ѕќ на компьютере жертвы.

—ама€ интересна€ часть - это туннелирование, то есть маскировка информации и передаваемых команд. ƒелаетс€ это, очевидно дл€ того, чтобы подобный трафик прошел незамеченным мимо защитных систем и ѕќ. ƒл€ маскировки используютс€ base32, base 64, а порой и полноценное шифрование.

Base32 и Base64 - это способы кодировки информации использу€ 32 символа и 64 соответственно. —уть данного упражнении в передаче любой информации в текстовом виде.” обоих методов есть минусы - Base32 код оказываетс€ в 1,6 раза больше оригинальной информации, а Base64 - регистрозависим.

 огда возник данный тип атак?

¬первые подобный вид атак был упом€нут в рассылке Buqtraq неким ќскаром ѕирсоном в апреле 1998 года.

ƒалее в 2004 на ежегодной конференции Black Hat была представлена подробна€ техника - то есть буквально руководство по использованию данной атаки. Ўло врем€ и данный тип атак становилс€ все попул€рнее - сегодн€ этот механизм встроен буквально в каждый вирус-шифровальщик.

ѕопробуйте погуглить словосочетание Sea Turtle - это все еще активна€ кампани€, целью которой €вл€етс€ взлом легитимных DNS серверов дл€ перенаправлени€ запросов на свои собственные сервера. “о есть злоумышленники смогут отвечать на эти запросы ложными сайтами.   примеру пользователь будет пытатьс€ зайти на Facebook или свой аккаунт Ozon, но на самом деле это будут копии страниц, созданные дл€ перехвата пользовательской информации. „естно говор€, такой тип атак не имеет ничего общего с туннелированием DNS, но вектор атаки остаетс€ тем же. » представьте себе последстви€ от украденных учетных данных - лично € бы не хотел, что злоумышленники получили доступ к моим аккаунт в онлайн банках и социальных сет€х.

ќсновные опасности DNS туннелировани€

 ак вы уже могли пон€ть из моей спутанной и слегка аутичной статьи, DNS туннелирование €вл€етс€ механизмом, который €вл€етс€ катализатором дл€ различного вида непри€тностей, а именно:

  • ”течка данных: злоумышленники используют DNS дл€ банального вывода текстовой информации с помощью определенной маскировки. ќбъемы вывода небольшие, но порой много и не требуетс€ - к примеру, данные паспорта улет€т очень быстро;
  • ”даленный контроль: злоумышленники отправл€ют различные команды через DNS, к примеру дл€ управлени€ RAT-ами (тро€нами с удаленным управлением).   слову, большое количество шифровальщиков именно так получают свои инструкции и ключи шифровани€;
  • IP-Over-DNS туннелирование: сейчас уже можно найти специальные утилиты, в которых IP стэк имплементирован в клиент-серверную модель работы DNS. “о есть такие утилиты позвол€ют относительно просто передавать информацию использу€ стандартные штуки вроде FTP, Netcat, ssh и пр. “о есть через DNS можно будет передать буквально любую информацию

“ехники детектировани€ DNS - туннелировани€

—уществует два основных метода по обнаружени€ некорректного использовани€ DNS службы: анализ трафика и анализ полезной нагрузки.

ѕри анализе полезной нагрузке необходимо обращать внимание на странные и аномальные запросы, особенно если они содержат в себе странные доменные имена, странные символы и пр. ƒл€ вы€влени€ подобного используютс€ различные статистические техники.

¬ свою очередь, при анализе трафика, нужно обращать внимание на общее количество запросов к домену и сравнивать это число со средними значени€ми. ’акеры, осуществл€ющие DNS туннелирование, будут создавать большой объем DNS трафика - что сразу должно вызвать подозрени€, так как отличи€ в объемах будут буквально на пор€дки.

”тилиты дл€ создани€ DNS туннел€:

≈сли вам хочетс€ посмотреть, у€звима ли ваша инфраструктура к такому виду атак, то можете попробовать несколько утилит из списка ниже (только на свой страх и риск). ¬се эти утилиты реализуют IP-over-DNS механизм атак.

  • Iodine: данна€ утилита доступна на большинстве платформ (Linux, Mac OS, Windows, FreeBSD) и позвол€ет установить SSH туннель между целью и вашим компьютером. ”тилита не сама€ проста€, когда-нибудь мы напишем статью чс примером ее использовани€;
  • OzymanDNS: функционал схож с Iodine, то есть утилита также позвол€ет строить SSH туннель. »нтересно то, что это проект целиком и полностью написан на Perl;
  • DNSCat2: многофункциональный комбайн, который создает зашифрованный канал дл€ управлени€ (C2) и позвол€ет скачивать/загружать файлы, запускать cmd/powershell и пр.

”тилиты дл€ мониторинга DNS туннел€:

  • dnsHunter: модуль на питоне, написанный дл€ Mercenary-Linux. ƒанный модуль читает .pcap файлы, выдел€ет из них DNS-запросы и осуществл€ет геолукапы, что также может помочь при расследовании;
  • reassemble_dns: также утилита, написанна€ на питоне, котора€ позвол€ет читать .pcap файлы и реконструировать DNS запросы;

ѕолезна ли ¬ам эта стать€?