O tunelamento DNS transforma o sistema de nomes de domínio na arma de um hacker. O DNS é essencialmente a enorme lista telefônica da Internet. O DNS também é o protocolo subjacente que permite aos administradores consultar o banco de dados do servidor DNS. Até agora, tudo parece estar claro. Mas os hackers astutos perceberam que era possível se comunicar secretamente com o computador da vítima injetando comandos de controle e dados no protocolo DNS. Essa ideia está no cerne do tunelamento DNS.
Como funciona o túnel DNS
Tudo na Internet tem seu próprio protocolo separado. E o DNS oferece suporte a um protocolo de resposta de desafio relativamente simples . Se você quiser ver como funciona, pode executar o nslookup, a principal ferramenta para enviar consultas DNS. Você pode solicitar um endereço simplesmente especificando o nome do domínio de interesse, por exemplo:
No nosso caso, o protocolo respondeu com o endereço IP do domínio. Em termos de protocolo DNS, fiz uma solicitação de endereço ou um assim chamado. "Um tipo. Existem outros tipos de consultas, e o protocolo DNS responderá com um conjunto diferente de campos de dados que, como veremos mais tarde, podem ser explorados por hackers.
De uma forma ou de outra, em sua essência, o protocolo DNS está preocupado em passar uma solicitação ao servidor e sua resposta de volta ao cliente. E se um invasor adicionar uma mensagem oculta dentro da solicitação de nome de domínio? Por exemplo, em vez de inserir um URL totalmente legítimo, ele inserirá os dados que deseja transferir:
Suponha que um invasor controle o servidor DNS. Então, ele pode transmitir dados - por exemplo, dados pessoais - e não necessariamente ser descoberto. Afinal, por que uma solicitação de DNS se tornaria algo ilegítimo?
Ao controlar o servidor, os hackers podem falsificar respostas e enviar dados de volta ao sistema de destino. Isso permite que eles transmitam mensagens ocultas em vários campos da resposta DNS ao malware na máquina infectada, com instruções como pesquisar em uma pasta específica.
A parte de "tunelamento" desse ataque é ocultar dados e comandos da detecção por sistemas de monitoramento. Os hackers podem usar os conjuntos de caracteres base32, base64, etc., ou até mesmo criptografar dados. Essa codificação passará despercebida por utilitários simples de detecção de ameaças que pesquisam em texto simples.
E isso é tunelamento DNS!
História de ataques de túnel DNS
Tudo teve um começo, incluindo a ideia de sequestrar o protocolo DNS para fins de hacking. Pelo que podemos dizer, a primeira discussão de tal ataque foi conduzida por Oskar Pearson na lista de discussão Bugtraq em abril de 1998.
Em 2004, o tunelamento de DNS foi apresentado à Black Hat como uma técnica de hacking em uma apresentação de Dan Kaminsky. Assim, a ideia cresceu rapidamente e se tornou uma ferramenta de ataque real.
Hoje, o túnel DNS tem uma posição forte no mapa de ameaças em potencial (e os blogueiros de segurança são frequentemente solicitados a explicá-lo).
Você já ouviu falar da tartaruga marinha? Esta é uma campanha contínua de grupos cibercriminosos - provavelmente patrocinados pelo estado - para sequestrar servidores DNS legítimos a fim de redirecionar solicitações DNS para seus próprios servidores. Isso significa que as organizações receberão endereços IP “ruins” que apontam para páginas da web falsas executadas por hackers, como Google ou FedEx. Ao mesmo tempo, os invasores serão capazes de obter as contas e senhas dos usuários que eles inseriram sem saber em tais sites falsos. Isso não é tunelamento de DNS, mas apenas outra conseqüência desagradável do controle de hackers de servidores DNS.
Ameaças de túnel DNS
O tunelamento de DNS é como um indicador do início do estágio de más notícias. Quais? Já cobrimos alguns, mas vamos estruturá-los:
- () – DNS. - — — , – !
- (Command and Control, C2) – DNS- , , (Remote Access Trojan, RAT).
- IP-Over-DNS – , , IP- DNS-. FTP, Netcat, ssh .. . !
DNS-
Existem dois métodos principais para detectar abuso de DNS: análise de carga e análise de tráfego.
Ao analisar a carga, o defensor procura anomalias nos dados transmitidos em ambas as direções, que podem ser detectadas por métodos estatísticos: nomes de host de aparência estranha, um tipo de registro DNS que não é usado com tanta frequência ou uma codificação não padrão.
Ao analisar o tráfego é estimado o número de consultas de DNS para cada domínio, em comparação com o nível médio. Os invasores que usam o túnel DNS gerarão uma grande quantidade de tráfego para o servidor. Em teoria, muito superior ao sistema de mensagens DNS normal. E isso deve ser monitorado!
Utilitários de túnel DNS
Se você deseja realizar seu próprio teste de penetração e verificar o quão bem sua empresa pode detectar e responder a tal atividade, existem vários utilitários para isso. Todos eles são capazes de criar um túnel no modo IP-Over-DNS :
- Iodo - Disponível em várias plataformas (Linux, Mac OS, FreeBSD e Windows). Permite configurar um shell SSH entre o destino e o computador host. Aqui está um bom guia para configurar e usar seu iodo.
- OzymanDNS é um projeto de túnel DNS de Dan Kaminsky escrito em Perl. Você pode se conectar a ele via SSH.
- DNSCat2 - "Um túnel DNS que não passa mal". Cria um canal C2 criptografado para enviar / baixar arquivos, lançar shells, etc.
Utilitários de monitoramento de DNS
Abaixo está uma lista de vários utilitários que serão úteis para detectar ataques de túnel:
- dnsHunter é um módulo Python escrito para MercenaryHuntFramework e Mercenary-Linux. Lê arquivos .pcap, extrai pesquisas de DNS e executa correspondência de geolocalização para ajudar na análise.
- reassemble_dns é um utilitário Python que lê arquivos .pcap e analisa mensagens DNS.
Micro FAQ de tunelamento de DNS
As informações mais úteis na forma de perguntas e respostas!
P: O que é tunelamento?
R: É apenas uma forma de transferir dados por meio de um protocolo existente. O protocolo subjacente fornece um canal ou túnel dedicado, que é então usado para ocultar as informações que são realmente transmitidas.
P: Quando foi realizado o primeiro ataque de túnel DNS?
R: Não sabemos! Se você souber - por favor, nos informe. Pelo que sabemos, a primeira discussão sobre o ataque foi iniciada por Oscar Pearsan na lista de discussão Bugtraq em abril de 1998.
P: Quais ataques são semelhantes ao túnel DNS?
SOBRE:O DNS está longe de ser o único protocolo que pode ser usado para tunelamento. Por exemplo, o malware de comando e controle (C2) geralmente usa HTTP para mascarar o canal de comunicação. Assim como no túnel DNS, o hacker esconde seus dados, mas, neste caso, parece o tráfego de um navegador normal acessando um site remoto (controlado pelo invasor). Isso pode passar despercebido pelos programas de monitoramento, se eles não estiverem configurados para perceber a ameaça de hackear o protocolo HTTP.
Quer que ajudemos com a detecção de túnel DNS? Confira nosso módulo Varonis Edge e experimente a demonstração gratuita !