Durch DNS-Tunneling wird das Domain-Name-System zur Waffe eines Hackers. DNS ist im Wesentlichen das riesige Telefonbuch des Internets. DNS ist auch das zugrunde liegende Protokoll, mit dem Administratoren die DNS-Serverdatenbank abfragen können. Bisher scheint alles klar zu sein. Die gerissenen Hacker erkannten jedoch, dass es möglich war, verdeckt mit dem Computer des Opfers zu kommunizieren, indem Steuerbefehle und Daten in das DNS-Protokoll eingefügt wurden. Diese Idee steht im Mittelpunkt des DNS-Tunnels.
So funktioniert DNS-Tunneling
Alles im Internet hat ein eigenes Protokoll. Und DNS unterstützt ein relativ einfaches Challenge-Response- Protokoll . Wenn Sie sehen möchten, wie es funktioniert, können Sie nslookup ausführen, das Hauptwerkzeug zum Senden von DNS-Abfragen. Sie können eine Adresse anfordern, indem Sie einfach den gewünschten Domainnamen angeben. Beispiel:
In unserem Fall hat das Protokoll mit der IP-Adresse der Domain geantwortet. In Bezug auf das DNS-Protokoll habe ich eine Adressanfrage oder eine sogenannte gestellt. "Eine Art. Es gibt andere Arten von Abfragen, und das DNS-Protokoll antwortet mit einem anderen Satz von Datenfeldern, die, wie wir später sehen werden, von Hackern ausgenutzt werden können.
Auf die eine oder andere Weise befasst sich das DNS-Protokoll im Kern mit der Weiterleitung einer Anforderung an den Server und ihrer Antwort an den Client. Was passiert, wenn ein Angreifer der Domainnamenanforderung eine versteckte Nachricht hinzufügt? Anstatt beispielsweise eine vollständig legitime URL einzugeben, gibt er die Daten ein, die er übertragen möchte:
Angenommen, ein Angreifer kontrolliert den DNS-Server. Dann kann es Daten übertragen - zum Beispiel personenbezogene Daten - und muss nicht unbedingt entdeckt werden. Warum sollte eine DNS-Anfrage schließlich unzulässig werden?
Durch die Steuerung des Servers können Hacker Antworten fälschen und Daten an das Zielsystem zurücksenden. Auf diese Weise können sie Nachrichten, die in verschiedenen Bereichen der DNS-Antwort versteckt sind, an Malware auf dem infizierten Computer weiterleiten, mit Anweisungen wie der Suche in einem bestimmten Ordner.
Der "Tunneling" -Teil dieses Angriffs besteht darin , Daten und Befehle vor der Erkennung durch Überwachungssysteme zu verbergen . Hacker können Zeichensätze base32, base64 usw. verwenden oder sogar Daten verschlüsseln. Eine solche Codierung wird von einfachen Dienstprogrammen zur Erkennung von Bedrohungen, die im Klartext suchen, nicht bemerkt.
Und das ist DNS-Tunneling!
Verlauf der DNS-Tunnelangriffe
Alles hat einen Anfang, einschließlich der Idee, das DNS-Protokoll für Hacking-Zwecke zu entführen. Soweit wir das beurteilen können, führte Oskar Pearson im April 1998 die erste Diskussion über einen solchen Angriff auf der Bugtraq-Mailingliste.
Bis 2004 wurde das DNS-Tunneling in einer Präsentation von Dan Kaminsky als Hacking-Technik in Black Hat eingeführt. So entwickelte sich die Idee sehr schnell zu einem echten Angriffswerkzeug.
Heutzutage nimmt das DNS-Tunneling eine starke Position auf der Karte potenzieller Bedrohungen ein (und Sicherheitsblogger werden häufig gebeten, dies zu erklären).
Hast du schon von Sea Turtle gehört ?? Dies ist eine fortlaufende Kampagne von Cyberkriminellengruppen - höchstwahrscheinlich vom Staat gesponsert -, um legitime DNS-Server zu entführen, um DNS-Abfragen auf ihre eigenen Server umzuleiten. Dies bedeutet, dass Unternehmen "schlechte" IP-Adressen erhalten, die auf gefälschte Webseiten verweisen, die von Hackern wie Google oder FedEx betrieben werden. Gleichzeitig können Angreifer die Konten und Passwörter von Benutzern abrufen, die sie unwissentlich auf solchen gefälschten Websites eingeben. Dies ist kein DNS-Tunneling, sondern nur eine weitere schlimme Folge der Hacker-Kontrolle von DNS-Servern.
DNS-Tunneling-Bedrohungen
DNS-Tunneling ist wie ein Indikator für den Beginn der Phase der schlechten Nachrichten. Welche? Wir haben bereits einige behandelt, aber strukturieren wir sie:
- () – DNS. - — — , – !
- (Command and Control, C2) – DNS- , , (Remote Access Trojan, RAT).
- IP-Over-DNS – , , IP- DNS-. FTP, Netcat, ssh .. . !
DNS-
Es gibt zwei Hauptmethoden zum Erkennen von DNS-Missbrauch: Lastanalyse und Verkehrsanalyse.
Bei der Analyse der Last sucht die verteidigende Seite nach Anomalien in den in beide Richtungen übertragenen Daten, die mit statistischen Methoden erkannt werden können: seltsam aussehende Hostnamen, die Art des DNS-Eintrags, der nicht so häufig verwendet wird, oder eine nicht standardmäßige Codierung.
Bei der Analyse des Datenverkehrs wird die Anzahl der DNS-Abfragen an jede Domäne im Vergleich zum Durchschnittsniveau geschätzt. Angreifer, die DNS-Tunneling verwenden, generieren eine große Menge an Datenverkehr zum Server. Theoretisch dem normalen DNS-Messaging weit überlegen. Und das muss überwacht werden!
DNS-Tunneling-Dienstprogramme
Wenn Sie Ihren eigenen Penetrationstest durchführen und prüfen möchten, wie gut Ihr Unternehmen solche Aktivitäten erkennen und darauf reagieren kann, gibt es dafür mehrere Dienstprogramme. Alle können im IP-Over-DNS- Modus tunneln :
- Jod - Verfügbar auf vielen Plattformen (Linux, Mac OS, FreeBSD und Windows). Ermöglicht die Installation einer SSH-Shell zwischen dem Ziel und dem Host-Computer. Hier ist eine gute Anleitung zum Einrichten und Verwenden Ihres Jods.
- OzymanDNS ist ein DNS-Tunnelprojekt von Dan Kaminsky, geschrieben in Perl. Sie können sich über SSH damit verbinden.
- DNSCat2 - "Haben Sie keinen DNS-Tunnel satt ." Erstellt einen verschlüsselten C2-Kanal zum Senden / Herunterladen von Dateien, Starten von Shells usw.
DNS-Überwachungsdienstprogramme
Im Folgenden finden Sie eine Liste mehrerer Dienstprogramme, die zum Erkennen von Tunnelangriffen hilfreich sind:
- dnsHunter ist ein Python-Modul, das für MercenaryHuntFramework und Mercenary-Linux geschrieben wurde. Liest .pcap-Dateien, extrahiert DNS-Lookups und führt Geolocation-Matching durch, um die Analyse zu unterstützen.
- reassemble_dns ist ein Python - Dienstprogramm , das .pcap Dateien und analysiert DNS - Nachrichten liest.
Häufig gestellte Fragen zu DNS-Tunneling-Mikro
Die nützlichsten Informationen in Form von Fragen und Antworten!
F: Was ist Tunnelbau?
A: Es ist nur eine Möglichkeit, Daten über das vorhandene Protokoll zu übertragen. Das zugrunde liegende Protokoll stellt einen dedizierten Kanal oder Tunnel bereit, der dann verwendet wird, um die tatsächlich übertragenen Informationen zu verbergen.
F: Wann wurde der erste DNS-Tunnelangriff durchgeführt?
A: Wir wissen es nicht! Wenn Sie wissen - lassen Sie es uns bitte wissen. Soweit wir wissen, wurde die erste Diskussion über den Angriff von Oscar Pearsan auf der Bugtraq-Mailingliste im April 1998 initiiert.
F: Welche Angriffe ähneln dem DNS-Tunneling?
ÜBER:DNS ist bei weitem nicht das einzige Protokoll, das zum Tunneln verwendet werden kann. Beispielsweise verwendet Command and Control (C2) -Malware häufig HTTP, um den Kommunikationskanal zu maskieren. Wie beim DNS-Tunneling verbirgt der Hacker seine Daten, aber in diesem Fall sieht es so aus, als würde ein normaler Webbrowser auf eine entfernte Site zugreifen (vom Angreifer kontrolliert). Dies kann von Überwachungsprogrammen unbemerkt bleiben, wenn sie nicht so konfiguriert sind, dass sie die Gefahr des Hackens des HTTP-Protokolls erkennen.
Möchten Sie, dass wir bei der Erkennung von DNS-Tunneln helfen? Schauen Sie sich unser Varonis Edge- Modul an und testen Sie die kostenlose Demo !