The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

DNS как канал передачи данных от вредоносного ПО

30.06.2016 11:01

Исследователи безопасности из компании Cisco обратили внимание на новый способ взаимодействия вредоносного ПО с управляющими серверами, основанный на выполнении операций определения имён в DNS для специально оформленных поддоменов. Например, вредоносное ПО может отправлять данные о перехваченных на системе жертвы паролях и номерах кредитных карт или информировать о поражении новой системы выполняя DNS-запросы вида "log.nu6timjqgq4dimbuhe.3ikfsb[...]cg3.7s3bnxqmavqy7sec.dojfgj.com", в которых при помощи формата base32 в имени поддомена закодированы передаваемые на управляющий сервер данные.

Злоумышленник может принимать данные сообщения, контролируя DNS-сервер для домена dojfgj.com. Механизм достаточно прост в реализации, имеет децентрализованный характер и легко обходит различные межсетевые экраны, вовлекая местные DNS-резолверы в распространение запросов. Администраторам локальных сетей рекомендуется посмотреть лог на подконтрольных DNS-серверах - наличие в логе попыток резолвинга подозрительных длинных имён (231- 233 символов в имени поддомена) может стать индикатором наличия поражённых вредоносным ПО систем в локальной сети.

  1. Главная ссылка к новости (http://blog.talosintel.com/201...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/44701-dns
Ключевые слова: dns, malware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (52) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, hoopoe (ok), 11:17, 30/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    эх, такую бы энергию да в мирных целях... :)
     
     
  • 2.5, SysA (?), 11:53, 30/06/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > эх, такую бы энергию да в мирных целях... :)

    А что есть "мирные цели"?.. ;)

    Тут ведь тоже как бы ничего "военного" - просто бизнес. каждый пытается заработать как может в пределах своей личной этики, к тому же стараясь получить удовольствие от процесса...

    А навредить при желании можно и детскими игрушками, я уж не говорю о товарах из хозяйственного магазина...

     
     
  • 3.24, cordatus (ok), 19:43, 30/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А вот и пример злодея, который пытается убедить в первую очередь самого себя, в своей правоте.
     
     
  • 4.26, Sw00p aka Jerom (?), 22:07, 30/06/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    лучший способ, что-либо создать и не навредить - ничего не создавать)
     
  • 4.50, Аноним (-), 11:13, 04/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А вот и пример злодея, который пытается убедить в первую очередь самого
    > себя, в своей правоте.

    По сравнению с российскими законодателями, даже самый наглый кардер - просто пацифист в области информационной безопасности.

     
  • 3.42, Аноним (-), 23:52, 01/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Обычное мирное воровство паролей и крякинг. Хоре распространять свою нравственную бесформенность, и так сложно жить.
     
  • 2.18, ivn86 (ok), 15:17, 30/06/2016 [^] [^^] [^^^] [ответить]  
  • +9 +/
    В мирных целях это называется ip-over-dns: http://code.kryo.se/iodine/
     
     
  • 3.51, Аноним (-), 21:28, 04/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, товарищ!
     

  • 1.2, Аноним (-), 11:34, 30/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В некотором роде подобные случаи, заставляют пересматривать технологии и совершенствовать их
     
  • 1.3, Аноним (-), 11:42, 30/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    О, скоро dns начнет и кофе ванить.
     
  • 1.4, Аноним (-), 11:42, 30/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    клоун: Админам предлагается подзаработать, посмотрев в логах DNS номера и PINы чужих кредитных карт.
     
     
  • 2.13, cmp (ok), 13:04, 30/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Палево, а вот продавать телефоны абонов конторам, которые чинят компы - вариант, хотя контролируя траффик вирусню можно и проще детектить, чем логировать днс-запросы, а потом грепать гигабайты скрапа..
     
  • 2.23, кверти (ok), 19:16, 30/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >клоун:

    Я понял теперь твою фишку - тебе лень логиниться, подписываешься прямо в сообщении. Оригинально, чо.

     
     
  • 3.32, Аноним (-), 00:31, 01/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Просто я уникальный. Сообщения из под Ника "клоун" удаляются сразу после добавления.
     
  • 3.34, Какаянахренразница (ok), 06:19, 01/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Я понял теперь твою фишку - тебе лень логиниться, подписываешься прямо в сообщении.
    > Оригинально, чо.

    На третий день индеец Зоркий Глаз заметил. Бедный грустный клоун уже который месяц страдает.

     
  • 2.29, НяшМяш (ok), 22:50, 30/06/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Глазам своим не верю. Клоун смешно пошутил.
     
     
  • 3.35, Какаянахренразница (ok), 06:20, 01/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Глазам своим не верю. Клоун смешно пошутил.

    С иронией у него проблем нет. Просто он какой-то не добрый...

     

  • 1.6, Аноним (-), 11:54, 30/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Зовите мишу, тут офигенная идея для бизнеса
     
     
  • 2.37, славян (?), 07:05, 01/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и вы только сейчас заметили что трафик DNS можно использовать как канал передачи данных? действительно как выше упомянули про "зоркий глаз")) хи хи.
    днс уже палят на серверах оч давно , просто админы сидящие здесь как то странно заметили только сейчас. вообще можно было организовать и полноценный канал , но вот только его быстрее засекут.
     

  • 1.7, Аноним (-), 12:05, 30/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сформировал оч длинный днс запрос. Надеюсь админ прочитает эту статью, пойдет смотреть длинные запросы в надежде поживиться чужими паролями, а в итоге узнает много нового про свою мамку))))))
     
     
  • 2.9, Аноним (-), 12:31, 30/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Уже был подобны способ спамить - в реферрере спамер передает урл своего сайта, в надежде, что админ туда зайдет
     
     
  • 3.43, Аноним (-), 23:56, 01/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Уже был подобны способ спамить - в реферрере спамер передает урл своего
    > сайта, в надежде, что админ туда зайдет

    Админ зайдет, и запустится зловред с правами админа. Многоходовка )

     
  • 2.15, Онаним (?), 13:18, 30/06/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ах вот ты где. Зайди ко мне в кабинет, я расскажу как тебя зачал.
     
  • 2.21, _ (??), 17:33, 30/06/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вазелина 5 литровую банку припаси, дeб-ил :)
    Ибо если админ логает DNS запросы то там есть время и IP - считай что ты паспорт свой приложил! :-))))  
    ДЪ (С) Наше всиё Лавров С.В.
     
  • 2.30, Аноним (-), 23:45, 30/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ты сам-то кто, с такими глубокими познаниями админов, погромист или юзверь?
     

  • 1.8, Аноним (-), 12:28, 30/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    https://habrahabr.ru/post/65322/
    https://www.opennet.ru/tips/2922_dns_file.shtml

    Через dns-трафик можно и файлы гонять

     
     
  • 2.33, lor_anon (ok), 02:06, 01/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, новизна в новости отсутствует.

    Давно реализован IP поверх DNS. И тут ВНЕЗАПНО, можно гонять данные и от вредоносных приложений тоже.

     

  • 1.11, Аноним (-), 12:51, 30/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А шифровать религия не позволяет?
     
     
  • 2.14, . (?), 13:11, 30/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А шифровать религия не позволяет?

    ну так "новый" же способ, открытый брита...подозреваю, рассейским ученым, только что пересдавшим, наконец, хвосты за первый курс.

    Остальной мир уже лет десять как использует nstx, iodine и, наверное, еще прорву самодельных туннельчиков.
    и да, фигня, разумеется, шифрованная - я как-то унаследовал у хостера айпишник управляющей системы какого-то явно неслабого (судя по траффику и количеству засветившихся клиентов) ботнета, но, увы, так и не придумал, зачем оно мне, а где-то через недельку и владелец спохватился.
    Никакой пользы от простого перехвата пакетов вида
    IP 62.72.124.225.63345 > me.53: 57868+ A? gpkfqxqhypcpwbsb.www.phxtrade.com.
    естестсвенно, нет.

     
     
  • 3.20, Нанобот (ok), 16:45, 30/06/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    может это был ддос на ns-сервера?
     
     
  • 4.31, Аноним (-), 23:50, 30/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ты что, у такого бравого иксперта, который борется туннелированием с валидными dns запросами не может быть ддос.
     
  • 4.40, . (?), 12:47, 01/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    ddos это ровно наоборот - мильен запросов напрямую к не/нужному серверу.
    А не проксирование их через единичный чужой хост (который ты первым и заддосишь, естественно, если даже он настроен так что согласится твои запросы куда-то форвардить).

     
  • 3.44, t28 (?), 09:13, 02/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Остальной мир уже лет десять как использует nstx

    Хы-хы-хы! nstx юзал на курсах в аудитории с запароленным инетом гoду, где-то, в 2003—2004-м...

     
  • 2.27, Sw00p aka Jerom (?), 22:11, 30/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А шифровать религия не позволяет?

    хотя бы тупо ксорить (онтаймпад эдакий)

     

  • 1.16, Аноним (-), 14:19, 30/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Исследователи безопасности из компании Cisco узнали про dns-туннели, ну афигеть теперь.
     
  • 1.17, modos189 (ok), 15:15, 30/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    В "Младшем брате" читал про передачу видео через DNS
     
  • 1.19, fi (ok), 15:25, 30/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надо же, только сейчас заметили DNS -  он всегда был удобным инструментом для обхода защиты.

    зы но лучше его использовать по прямому назначению - для управления троянами :)))

     
  • 1.22, casm (ok), 17:47, 30/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Администраторам локальных сетей рекомендуется посмотреть лог

    Ещё следует учесть, что chrome при запуске делает несколько dns запросов на домены вида xqwvykjfei, aghepodlln, jdfhjnmlcx и т.п.
    Это видите ли для того, чтобы "быстро определить, находится ли клиент в сети, которая перехватывает и перенаправляет запросы к несуществующим хостам"
    https://mikewest.org/2012/02/chrome-connects-to-three-random-domains-at-startu
    Когда первый раз увидели у себя, долго думали, что за фигня.

     
  • 1.25, Аноним (25), 21:05, 30/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Об этой фиче DNS известно уже как минимум 15 лет! Вот это я понимаю НОВЫЙ способ общения зловредов с серверами.
     
     
  • 2.28, Sw00p aka Jerom (?), 22:16, 30/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Об этой фиче DNS известно уже как минимум 15 лет! Вот это
    > я понимаю НОВЫЙ способ общения зловредов с серверами.

    через твиттер тож могут )

    пс: там где под контроллем исходящие соединения и нужен в частности днс - обязательно запросы логируются и потом анализируются, ибо зачем ставить под файервол исходящие соединения, секурности ради? значить обязательно должен проводится анализ логов.

     

  • 1.36, Аноним (-), 06:51, 01/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А ещё можно отправлять данные кредиток азбукой Морзе
     
  • 1.38, fdsa (ok), 10:21, 01/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >> Исследователи безопасности из компании Cisco обратили внимание на новый способ

    этому способу больше чем лет

     
     
  • 2.39, Andrey Mitrofanov (?), 12:03, 01/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>> Исследователи безопасности из компании Cisco обратили внимание на новый способ
    > этому способу больше чем лет

    На третий день Зоркий Глаз заметил -- он же исследователь, надо публиковаться!

     
     
  • 3.41, Andrey Mitrofanov (?), 15:32, 01/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>>> Исследователи безопасности из компании Cisco обратили внимание на новый способ
    >> этому способу больше чем лет
    > На третий день Зоркий Глаз заметил -- он же исследователь, надо публиковаться!

    Мммм...
        http://www.ixbt.com/news/2016/06/29/cisco-priobretaet-razrabotchikov-oblachny
    Исследователи отрабатывают пиар нового хозяина.

     

  • 1.45, Аноним (-), 13:48, 02/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не знаю, лет 7 назад уже наблюдал канал DNS для рассылки спама, метод давно используется, поэтому админы-параноики закрывают все сторонние днс-серваки и отслеживают объемы трафика на свои днс сервера (например через zabbix)
     
  • 1.46, nc (ok), 15:24, 02/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Говорят, в старые добрые времена DNS в некоторых случаях использовался для халявного доступа в интернет:) А тут хакеры вспомнили, молодцы.
     
  • 1.47, alexpn (ok), 16:04, 02/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Отстал от темы
    но может сайт dojfgj.com в днс на 127.0.0.1 посадить ?
    как думаете спасет ситуацию ?
     
     
  • 2.52, Aleks Revo (ok), 22:36, 04/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, потому что домен в разных случаях будет разный, а это просто пример, можно было и example.com написать.
     

  • 1.48, абвгдейка (ok), 20:03, 02/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    с периодичностью раз в 10 лет появляются подобные идеи только на моей памяти и на Опеннете:)
     
     
  • 2.49, Аноним (-), 20:51, 02/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    да не, идея на самом деле древняя. и используется не только крииналитетом но и службами для экфсильтрации данных.
     

  • 1.53, Нониус (?), 13:37, 05/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это что? Очевидные, давно используемые как передовые? Да ТЮ.
     
  • 1.54, Нониус (?), 13:40, 05/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вы ещё snmp, грей днс тот же что и этот,  или замену заголовков IP приплюсуйте. Ну баян же сколько лет.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру