استخراج اطلاعات از طریق ترافیک DNS✍
حتما در خصوص افشای اطلاعات بزرگی که در ماه اخیر برای شرکت Equifax (شرکت بررسی اعتبارات شهروندان) رخ داد مواردی شنیده اید. اتفاقی که هنوز پیامدهای آن به طور کامل مشخص نیست، اما استعفای مدیرعامل این کمپانی بزرگ را به دنبال داشته است. آنچه از بین حواشی و اتفاقات مبهم این رخداد واضح است، اطلاعاتی است که از این کمپانی افشا شده است. افشای اطلاعات یا به بیان دقیق تر استخراج اطلاعات از راه های مختلفی قابل انجام است که یکی از خطرناکترین آنها، استخراج اطلاعات در قالب ترافیک DNS است؛ این مساله از آن جهت خطرناک است که تقریبا اکثر فایروال ها و سیستم های تشخیص تهدید، اجازه عبور چنین ترافیکی را می دهند و در صورتی که مهاجم بتواند اطلاعات مورد نظر خود را در این ترافیک تعبیه کند تقریبا با مانع اساسی روبرو نخواهد شد. مطالعه ای که اخیرا بر روی رخدادهای افشای اطلاعات انجام شده است، نشان می دهد ۲۵ درصد کسب و کار های هدف بررسی در آمریکا، افشای اطلاعات از طریق DNS را تجربه کرده اند.
هکرها معمولا داده های خود را در درخواست های بازگشتی (Recursive Qery) سرویس DNS تعبیه می کنند. درخواست های بازگشتی، درخواستهایی است که بین کلاینت و سرور DNS ردوبدل می شود (نه پیام هایی که بین سرورهایDNS مبادله می شود). مهاجمان داده ها یا کدهای خود را به بخش های بسیار کوچکی تقسیم می کنند و هریک از این بخش ها را در یکی از فیلدهای بسته DNS ( به عنوان نمونه فیلد TXT ) جاسازی می کنند. اما این یکی از روش های استخراج داده از طریق DNS است.
روش معروف دیگری برای این کار وجود دارد که به روش DNS Tunneling معروف است. DNS Tunneling به معنای ارسال بسته های مختلف (مثلا FTP، HTTP و …) با پوشش بسته های DNS است؛ به عبارت دقیق تر روی داده های مورد نظر سرآیند DNS می خورد که این مساله می تواند منجر به فریفتن تجهیزات امنیتی موجود در شبکه شود. انجام فرآیند DNS Tunneling نیاز به دو برنامه یکی در سمت سرور و دیگری در سمت کلاینت دارد. معمولا این روش از روش قبلی کمی کندتر است اما با استفاده از آن حجم داده بیشتری را می توان انتقال داد.
شناسایی ترافیک مشکوک DNS
متخصصان شبکه و امنیت سازمان ها برای شناسایی بسته های مخرب DNS، در اولین گام باید پیلود بسته ها را تحلیل کنند.به بیان دقیق تر، با تحلیل هریک از درخواست ها و پاسخ های متناظر با آن، می توان فعالیت های مخرب احتمالی از طریق DNS را شناسایی کرد. با مروری بر داده های تراکنش و جستجو برای الگوهای مشخص می توان به نشانه های DNS Tunneling رسید.
ناهمگونی در تعداد درخواست ها و پاسخ ها، ناهمگونی در حجم بسته های DNS و قالب غیرعادی بسته های DNS همگی از نشانه های DNS Tunneling است. همچنین با فرآیند تحلیل ترافیک و تحلیل های آماری نظیر تعداد نام میزبان ها بر دامنه ها، مکان فیزیکی درخواست ها و … می توان دریافت که آیا نشت داده ای از این طریق رخ داده است یا خیر. کسب و کارهایی که به امنیت دارایی های اطلاعاتی خود اهمیت زیادی می دهند می توانند از سیستم هایی موسوم به DNS Filteration استفاده کنند که می تواند ترافیک DNS را به صورت آنلاین و بلادرنگ بررسی کند و میزان ریسک آن را اعلام کند.
اما در صورتی که با هر روشی افشای اطلاعات از طریق DNS رخ داد می توان دو اقدام زیر را تحت عنوان پاسخگویی به رخداد انجام داد:
حصول اطمینان از انجام صحیح فرآیندهای مانیتورینگ مداوم شبکه و تحلیل بسته های DNS
غیرفعال کردن موقتی سرویس DNS به گونه ای که میزبان های داخل سازمان نتوانند هیچ دامنه خارجی را اصلاحا Resolve کنند.
http://www.hypersec.ir/?p=173🌎
@hypersec
t.me/hypersec
حتما در خصوص افشای اطلاعات بزرگی که در ماه اخیر برای شرکت Equifax (شرکت بررسی اعتبارات شهروندان) رخ داد مواردی شنیده اید. اتفاقی که هنوز پیامدهای آن به طور کامل مشخص نیست، اما استعفای مدیرعامل این کمپانی بزرگ را به دنبال داشته است. آنچه از بین حواشی و اتفاقات مبهم این رخداد واضح است، اطلاعاتی است که از این کمپانی افشا شده است. افشای اطلاعات یا به بیان دقیق تر استخراج اطلاعات از راه های مختلفی قابل انجام است که یکی از خطرناکترین آنها، استخراج اطلاعات در قالب ترافیک DNS است؛ این مساله از آن جهت خطرناک است که تقریبا اکثر فایروال ها و سیستم های تشخیص تهدید، اجازه عبور چنین ترافیکی را می دهند و در صورتی که مهاجم بتواند اطلاعات مورد نظر خود را در این ترافیک تعبیه کند تقریبا با مانع اساسی روبرو نخواهد شد. مطالعه ای که اخیرا بر روی رخدادهای افشای اطلاعات انجام شده است، نشان می دهد ۲۵ درصد کسب و کار های هدف بررسی در آمریکا، افشای اطلاعات از طریق DNS را تجربه کرده اند.
هکرها معمولا داده های خود را در درخواست های بازگشتی (Recursive Qery) سرویس DNS تعبیه می کنند. درخواست های بازگشتی، درخواستهایی است که بین کلاینت و سرور DNS ردوبدل می شود (نه پیام هایی که بین سرورهایDNS مبادله می شود). مهاجمان داده ها یا کدهای خود را به بخش های بسیار کوچکی تقسیم می کنند و هریک از این بخش ها را در یکی از فیلدهای بسته DNS ( به عنوان نمونه فیلد TXT ) جاسازی می کنند. اما این یکی از روش های استخراج داده از طریق DNS است.
روش معروف دیگری برای این کار وجود دارد که به روش DNS Tunneling معروف است. DNS Tunneling به معنای ارسال بسته های مختلف (مثلا FTP، HTTP و …) با پوشش بسته های DNS است؛ به عبارت دقیق تر روی داده های مورد نظر سرآیند DNS می خورد که این مساله می تواند منجر به فریفتن تجهیزات امنیتی موجود در شبکه شود. انجام فرآیند DNS Tunneling نیاز به دو برنامه یکی در سمت سرور و دیگری در سمت کلاینت دارد. معمولا این روش از روش قبلی کمی کندتر است اما با استفاده از آن حجم داده بیشتری را می توان انتقال داد.
شناسایی ترافیک مشکوک DNS
متخصصان شبکه و امنیت سازمان ها برای شناسایی بسته های مخرب DNS، در اولین گام باید پیلود بسته ها را تحلیل کنند.به بیان دقیق تر، با تحلیل هریک از درخواست ها و پاسخ های متناظر با آن، می توان فعالیت های مخرب احتمالی از طریق DNS را شناسایی کرد. با مروری بر داده های تراکنش و جستجو برای الگوهای مشخص می توان به نشانه های DNS Tunneling رسید.
ناهمگونی در تعداد درخواست ها و پاسخ ها، ناهمگونی در حجم بسته های DNS و قالب غیرعادی بسته های DNS همگی از نشانه های DNS Tunneling است. همچنین با فرآیند تحلیل ترافیک و تحلیل های آماری نظیر تعداد نام میزبان ها بر دامنه ها، مکان فیزیکی درخواست ها و … می توان دریافت که آیا نشت داده ای از این طریق رخ داده است یا خیر. کسب و کارهایی که به امنیت دارایی های اطلاعاتی خود اهمیت زیادی می دهند می توانند از سیستم هایی موسوم به DNS Filteration استفاده کنند که می تواند ترافیک DNS را به صورت آنلاین و بلادرنگ بررسی کند و میزان ریسک آن را اعلام کند.
اما در صورتی که با هر روشی افشای اطلاعات از طریق DNS رخ داد می توان دو اقدام زیر را تحت عنوان پاسخگویی به رخداد انجام داد:
حصول اطمینان از انجام صحیح فرآیندهای مانیتورینگ مداوم شبکه و تحلیل بسته های DNS
غیرفعال کردن موقتی سرویس DNS به گونه ای که میزبان های داخل سازمان نتوانند هیچ دامنه خارجی را اصلاحا Resolve کنند.
http://www.hypersec.ir/?p=173🌎
@hypersec
t.me/hypersec