Blog

Fenyegetésvadászat DNS használatával

Share this:

Saját hálózaton a DNS forgalom figyelése sok információval szolgálhat egy esetleges támadásról, mivel az internet egyik alapszolgáltatásáról beszélünk, mely a szöveges neveket a gépek által is érthető IP címekre fordítja le. Pont ezért, szinte minden szolgáltatás használja: appok, frissítések és még a kártevőknek is haza kell telefonálniuk utasításokért/parancsokért. Ennek okán is fontos a DNS forgalom figyelése, hiszen ebből lehet következtetni a hálózatunkon terjedő esetleges rosszindulatú alkalmazásokra.

A malware írók számos DNS trükköt bevetnek, hogy eredményesen terjedhessen a találmányuk, például:

  • Domain generáló algoritmusok
  • Fast flux domains
  • DNS rejtett csatornák
  • Ismert címek „másolása

Domaingeneráló algoritmusok

Ha egy rosszindulatú programot telepítenek a célrendszeren, rendszerint kommunikálnia kell a C&C(Command and Control) szerverével utasításokért. Ha a domain a malware kódjába van építve és megszüntetik DNS elérését, nem tud kommunikálni. Ez elő is szokott fordulni mivel a domain szolgáltatóknál szűrik a gyanús tevékenységeket. Ezt a szűrést kicselezve többnyire címeket generáló algoritmusokat használnak a malware írók, amik meghosszabbítják a kártevők életét.

Az algoritmus által generált címek természetesen elég véletlenszerűek, például „intgmxdeadnxuyla” és „axwscwsslmiagfah”. Ezt emberi erővel is ki lehet szűrni. A hátránya ennek a megoldásnak, hogy számtalan DNS bejegyzést kellene manuálisan ellenőrizni. A másik megoldás a gépi ellenőrzés, ellenben ez is rejt buktatókat magában, mivel az automatikusan generált címlisták nem tartalmazzák a DGA által generált címeket mert rengeteg van belőlük és minden nap változnak. Vannak nyelvi struktúra alapján ellenőrző szoftverek, amik pontozzák a domaineket, ezek statisztikai elemzések alapján határozza meg, hogy káros lehet-e.

Fast flux domainek

A működési elve nagyon egyszerű, több száz vagy több ezer, botnetbe tartozó zombigépet rendelnek hozzá a domainhez, rövid időnként cserélgetve őket (5-10 perc). Így, ha letiltanak egy hosztot, akkor a helyére kerül egy másik, ezzel növelve a káros weboldal élettartamát (kombinálhatják még DGA-val is). Eléggé hatékony rendszerek ezek: megállítani ugyan meg lehet őket, de rengeteg idő és munka szükséges hozzá. Ezt a technikát illegális hirdető, adathalász és malware terjesztő oldalak is használják.

DNS covert channel

Azért támadnak DNS-en keresztül mert kevésbé védett. Nem védik ki a biztonsági eszközök az innen érkező támadásokat (tűzfal pl).

A rejtett DNS csatornák különösen érdekesek: minden, internetet használó alkalmazás megköveteli hogy a DNS megfelelően működjön, ezért két dolog biztos:

– A kimenő DNS kérések nem blokkoltak

– DNS proxik nem olyan gyorsak, mint a HTTP/S proxik, nem is olyan népszerűek. Ebből kifolyólag valószínűleg nem is fogják figyelni a DNS forgalmat.

Ez a hackerek számára egy újabb támadási felületet hoz létre, mleyet például a dnscat2 nevü eszköz képes kihasználni. A hacker a saját DNS kiszolgálóját kicseréli a rendszer belső DNS szerverére és így kedve szerint küldhet vissza hamisított weblapokat amivel exploitokat csempészhet be, vagy adatot lophat, illetve tevékenysége a forgalom monitorozásának hiányából fakadóan rejtve marad (pl. SSH tunneling over DNS).

Ismert vagy megfejtett domainok

Ez egy régi, de jól bevált technika. A támadók szeretnek hasonlóan kinéző domaineket használni, amik első ránézésre megegyeznek. A legtöbb felhasználó nem nézi meg másodjára, mivel feltételezik, hogy ez egy megbízható, legális szolgáltatás. Ez nagy probléma, különösen az ingyenes SSL tanúsító hatóságokkal szemben.

Ezeket ugyan nehezebb kiszűrni mint a DGA által generált címeket de léteznek biztonsági szoftverek amik statisztikák alapján felismerik.

Other Posts