La tunelización de DNS convierte el sistema de nombres de dominio en un arma de piratas informáticos. El DNS es esencialmente la enorme guía telefónica de Internet. DNS también es el protocolo subyacente que permite a los administradores consultar la base de datos del servidor DNS. Hasta el momento, todo parece estar claro. Pero los astutos piratas informáticos se dieron cuenta de que era posible comunicarse en secreto con la computadora de la víctima inyectando comandos de control y datos en el protocolo DNS. Esta idea está en el corazón de la tunelización de DNS.
Cómo funciona la tunelización de DNS
Todo en Internet tiene su propio protocolo separado. Y el DNS admite un protocolo de desafío-respuesta relativamente simple . Si desea ver cómo funciona, puede ejecutar nslookup, la herramienta principal para enviar consultas de DNS. Puede solicitar una dirección simplemente especificando el nombre de dominio de interés, por ejemplo:
En nuestro caso, el protocolo respondió con la dirección IP del dominio. En cuanto al protocolo DNS, hice una solicitud de dirección o un llamado. "Un tipo. Existen otros tipos de consultas, y el protocolo DNS responderá con un conjunto diferente de campos de datos que, como veremos más adelante, pueden ser explotados por piratas informáticos.
De una forma u otra, en esencia, el protocolo DNS se ocupa de pasar una solicitud al servidor y su respuesta al cliente. ¿Qué pasa si un atacante agrega un mensaje oculto dentro de la solicitud de nombre de dominio? Por ejemplo, en lugar de ingresar una URL completamente legítima, ingresará los datos que desea transferir:
supongamos que un atacante controla el servidor DNS. Entonces puede transmitir datos, por ejemplo, datos personales, y no necesariamente ser detectado. Después de todo, ¿por qué una solicitud de DNS se convertiría en algo ilegítimo?
Al controlar el servidor, los piratas informáticos pueden falsificar respuestas y enviar datos al sistema de destino. Esto les permite pasar mensajes ocultos en varios campos de la respuesta del DNS al malware en la máquina infectada, con instrucciones como buscar dentro de una carpeta específica.
La parte de "tunelización" de este ataque consiste en ocultar datos y comandos para que no los detecten los sistemas de monitoreo. Los piratas informáticos pueden utilizar conjuntos de caracteres base32, base64, etc., o incluso cifrar datos. Dicha codificación pasará desapercibida para las simples utilidades de detección de amenazas que buscan en texto plano.
¡Y eso es tunelización de DNS!
Historia de los ataques de túnel de DNS
Todo tiene un comienzo, incluida la idea de secuestrar el protocolo DNS con fines de piratería. Por lo que sabemos, la primera discusión de tal ataque fue realizada por Oskar Pearson en la lista de correo de Bugtraq en abril de 1998.
En 2004, el tunelización de DNS se introdujo en Black Hat como una técnica de piratería en una presentación de Dan Kaminsky. Por lo tanto, la idea se convirtió rápidamente en una verdadera herramienta de ataque.
Hoy en día, la tunelización de DNS ocupa una posición sólida en el mapa de amenazas potenciales (y a los bloggers de seguridad a menudo se les pide que lo expliquen).
¿Has oído hablar de la tortuga marina?? Esta es una campaña en curso de grupos de ciberdelincuentes, probablemente patrocinada por el estado, para secuestrar servidores DNS legítimos con el fin de redirigir las solicitudes de DNS a sus propios servidores. Esto significa que las organizaciones recibirán direcciones IP "incorrectas" que apuntan a páginas web falsas administradas por piratas informáticos como Google o FedEx. Al mismo tiempo, los atacantes podrán obtener las cuentas y contraseñas de los usuarios que, sin saberlo, las ingresarán en esos sitios falsos. Esto no es un túnel de DNS, sino simplemente otra consecuencia desagradable del control de los piratas informáticos sobre los servidores DNS.
Amenazas de túnel DNS
La tunelización de DNS es como un indicador del comienzo de la etapa de malas noticias. ¿Cuáles? Ya hemos cubierto algunos, pero estructurémoslos:
- () – DNS. - — — , – !
- (Command and Control, C2) – DNS- , , (Remote Access Trojan, RAT).
- IP-Over-DNS – , , IP- DNS-. FTP, Netcat, ssh .. . !
DNS-
Hay dos métodos principales para detectar el abuso de DNS: análisis de carga y análisis de tráfico.
Al analizar la carga, la parte defensora busca anomalías en los datos transmitidos en ambas direcciones, que pueden detectarse mediante métodos estadísticos: nombres de host de aspecto extraño, un tipo de registro DNS que no se usa con tanta frecuencia o una codificación no estándar.
Al analizar el tráfico, se estima el número de consultas de DNS a cada dominio, en comparación con el nivel medio. Los atacantes que utilicen el túnel de DNS generarán una gran cantidad de tráfico hacia el servidor. En teoría, muy superior a la mensajería DNS normal. ¡Y esto debe ser monitoreado!
Utilidades de tunelización DNS
Si desea realizar su propia prueba de penetración y comprobar qué tan bien su empresa puede detectar y responder a dicha actividad, existen varias utilidades para ello. Todos ellos pueden tunelizar en modo IP-Over-DNS :
- Yodo : disponible en muchas plataformas (Linux, Mac OS, FreeBSD y Windows). Le permite instalar un shell SSH entre el destino y la computadora host. Aquí tienes una buena guía para configurar y usar tu yodo.
- OzymanDNS es un proyecto de tunelización de DNS de Dan Kaminsky escrito en Perl. Puede conectarse con él a través de SSH.
- DNSCat2 - "No se canse de un túnel DNS". Crea un canal C2 encriptado para enviar / descargar archivos, lanzar shells, etc.
Utilidades de monitoreo de DNS
A continuación se muestra una lista de varias utilidades que serán útiles para detectar ataques de tunelización:
- dnsHunter es un módulo de Python escrito para MercenaryHuntFramework y Mercenary-Linux. Lee archivos .pcap, extrae búsquedas de DNS y realiza coincidencias de geolocalización para facilitar el análisis.
- reassemble_dns es una utilidad de Python que lee archivos .pcap y analiza los mensajes DNS.
Preguntas frecuentes sobre Micro Tunneling DNS
¡La información más útil en forma de preguntas y respuestas!
P: ¿Qué es un túnel?
R: Es solo una forma de transferir datos sobre el protocolo existente. El protocolo subyacente proporciona un canal o túnel dedicado, que luego se utiliza para ocultar la información que realmente se transmite.
P: ¿Cuándo se llevó a cabo el primer ataque de túnel DNS?
R: ¡No lo sabemos! Si lo sabe, háganoslo saber. Hasta donde sabemos, la primera discusión sobre el ataque fue iniciada por Oscar Pearsan en la lista de correo de Bugtraq en abril de 1998.
P: ¿Qué ataques son similares al túnel de DNS?
ACERCA DE:DNS está lejos de ser el único protocolo que se puede utilizar para tunelización. Por ejemplo, el malware de comando y control (C2) a menudo usa HTTP para enmascarar el canal de comunicación. Al igual que con el túnel de DNS, el pirata informático oculta sus datos, pero en este caso parece el tráfico de un navegador web normal que accede a un sitio remoto (controlado por el atacante). Esto puede pasar desapercibido para los programas de monitoreo si no están configurados para percibir la amenaza de piratear el protocolo HTTP.
¿Quiere que le ayudemos con la detección de túneles DNS? ¡Consulte nuestro módulo Varonis Edge y pruebe una demostración gratuita !