Проблемы эксфильтрации. Как поймать воров или не попасться при пентесте - «Новости»

За­меть, этот PoC соз­дан в пер­вую оче­редь для демонс­тра­ции и не учи­тыва­ет задава­емые Zoom огра­ниче­ния на количес­тво сооб­щений и дли­ну одно­го сооб­щения.

Важ­ная осо­бен­ность здесь в том, что API-зап­росы при­нима­ют все сер­веры Zoom. В том чис­ле даже если зап­рос идет по IP, без име­ни хос­та. Таким обра­зом, если в про­цес­сах ком­пании плот­но исполь­зует­ся Zoom, про­тиво­дей­ство­вать такому методу слож­но, не бло­кируя дос­туп к сер­верам Zoom пол­ностью. Это спра­вед­ливо и если говорить о выг­рузке через дру­гие мес­сен­дже­ры. Если не знать вызыва­емый метод API, невоз­можно отфиль­тро­вать выг­рузку дан­ных от легитим­ного тра­фика мес­сен­дже­ра.

DNS-туннелирование

Ин­капсу­ляция дан­ных в тело прик­ладных про­токо­лов — один из самых рас­простра­нен­ных методов эксфиль­тра­ции дан­ных и пос­тро­ения тун­нелей. Так как исхо­дящий DNS-тра­фик раз­решен в боль­шинс­тве кор­поратив­ных сетей, его мож­но исполь­зовать как канал свя­зи меж­ду сер­вером ата­кующе­го и ском­про­мети­рован­ным хос­том.

В нас­тоящее вре­мя сущес­тву­ет мно­жес­тво ути­лит для соз­дания DNS-тун­нелей: NSTX, DNSCat2, Iodine, TUNS, Dns2TCP, DeNiSe, DNScapy, Heyoka, OzymanDNS, psudp, squeeza, tcp-over-dns. В 2017 году на кон­ферен­ции ZeroNights санкт‑петер­бург­ская груп­па DC 7812 пред­ста­вила рас­ширение Meterpreter, реали­зующее тран­спортный канал для кон­тро­ля над аген­том Meterpreter при помощи DNS-тун­неля.

Как ловить?

Есть раз­ные методы обна­руже­ния DNS-тун­нелиро­вания в сети. Все они осно­ваны на ана­лизе содер­жимого пакетов DNS, а так­же количес­тва и час­тоты DNS-зап­росов. При эксфиль­тра­ции дан­ные кодиру­ются и переда­ются в виде под­доменов треть­его уров­ня. Дли­на под­домена, как пра­вило, не пре­выша­ет 30 сим­волов, соот­ветс­твен­но, мож­но уста­новить пра­вила для бло­киров­ки зап­росов, пре­выша­ющих этот порог.

Еще один спо­соб — ана­лиз энтро­пии домен­ных имен. Как пра­вило, легитим­ные URL содер­жат осмыслен­ные час­ти, в то вре­мя как закоди­рован­ные в Base64 дан­ные име­ют более высокую энтро­пию.

Как вари­ант, мож­но искать в пакетах записи DNS, которые нехарак­терны для легитим­ного тра­фика, нап­ример CNAME или TXT. Если полити­ка безопас­ности тре­бует, что­бы все зап­росы про­ходи­ли через внут­ренний сер­вер DNS, то по наруше­ниям мож­но отсле­дить нелеги­тим­ный тра­фик. Одна­ко боль­шинс­тво ути­лит пред­назна­чены для работы даже при пересыл­ке зап­росов через внут­ренний DNS. Мно­гие ути­литы исполь­зуют собс­твен­ные алго­рит­мы генера­ции домен­ных имен, что поз­воля­ет обна­ружи­вать тун­нели по сиг­натурам.

Один из основных и наибо­лее прос­тых методов обна­руже­ния — ана­лиз объ­ема DNS-тра­фика для кон­крет­ного кли­ент­ско­го IP-адре­са. Если зап­росов вдруг замет­но боль­ше, чем от дру­гих хос­тов, зна­чит, есть подоз­рение на эксфиль­тра­цию.

Как обойти?

Для скры­тия DNS-тун­нелиро­вания от средств защиты луч­ше все­го исполь­зовать самопис­ные инс­тру­мен­ты, так как сиг­натуры уже соз­данных ути­лит есть у вен­доров. Кро­ме того, луч­ше все­го исполь­зовать рас­простра­нен­ные типы DNS-записей, такие как A и AAAA. Так­же мож­но исполь­зовать уни­каль­ные алго­рит­мы генера­ции домен­ного име­ни для переда­чи закоди­рован­ной информа­ции, что­бы они не пре­выша­ли опре­делен­ной дли­ны и име­ли неболь­шую энтро­пию.