أسلوب حديث لهجمات ال Data exfiltration قد يتم استغلاله في برمجيات خبيثة مستقبلا. من خلال بحثي البسيط لم أحصل على أي تقرير يتحدث عن استخدامها من قبل فيروس معيّن (اللي يعرف فيروس يستخدمها يشاركني). و بذلك قررت تطوير PoC بسيط يشرح عملها.
مؤخرا, برمجيات خبيثة عديدة تلجأ للتواصل مع ال C2 server عن طريق الـ DNS tunneling و ذلك لتجاوز حجب الFirewall, ولكن في الوقت الحالي يوجد حلول أمنية لهذا الأسلوب مثل حجب أي Name Server خبيث وكذلك حساب مدى العشوائية (entropy) في الـDomain Name
لكن ماذا لو مررنا الـ DNS tunnel تحت خدمات DNS over HTTPS؟ بذلك نحقق الآتي:
1- تحقيق تشفير الـ DNS عن طريق تمريره تحت HTTPS
2- لا يقوم الـ DNS server الخاص بشبكتك بارسال طلبات الـ DNS الخبيثه و إنما يتم القيام بها عن طريق مزود خدمة ال DNS over HTTPS. و بذلك تصعب إمكانية اكتشافها
1- تحقيق تشفير الـ DNS عن طريق تمريره تحت HTTPS
2- لا يقوم الـ DNS server الخاص بشبكتك بارسال طلبات الـ DNS الخبيثه و إنما يتم القيام بها عن طريق مزود خدمة ال DNS over HTTPS. و بذلك تصعب إمكانية اكتشافها
3- موفرين خدمات ال DNS over HTTPS مقدمة من جهاز موثوقة وقت يفوت على بعض الجهات حجب هذي الخدمات. لا أعلم إن تم استغلال هذي الطريقة من قبل لكن عملت الآتي لتجربتها.. و لنسميها
DNS tunneling over HTTPS
DNS tunneling over HTTPS
قمت بحجز domain باسم dnstestoh[.]com و أضفت سجلات الـ NS أدناه و ربطتها بالـ IP الخاص بالانترنت المنزلي الخاص بي..
و بذلك..أي DNS query تطلب sub-domain ل dnstestoh[.]com..يتم توجيهها لل Name Server الخاص بي في المنزل
و بذلك..أي DNS query تطلب sub-domain ل dnstestoh[.]com..يتم توجيهها لل Name Server الخاص بي في المنزل
![قمت بحجز domain باسم dnstestoh[.]com و أضفت سجلات الـ NS أدناه و ربطتها بالـ IP الخاص بالانترنت المن...](https://pbs.twimg.com/media/EI_0g3vWoAEvPeb.png)
![قمت بحجز domain باسم dnstestoh[.]com و أضفت سجلات الـ NS أدناه و ربطتها بالـ IP الخاص بالانترنت المن...](https://pbs.twimg.com/media/EI_0g3yXYAEyCnI.png)
بعد ذلك قمت باستغلال خدمة dns.google لتهريب رسائل معيّنة و التقاطها بال name server الخاص بي. العملية مشفرة تحت HTTPS. في اليمين يظهر استخدامي للخدمة لارسال طلبات DNS من Google. و في اليسار يظهر استقبالي لهذي الطلبات من Google و تحتوي على البيانات المراد تهريبها.
أوصي بحجب خدمات ال DNS over HTTPS للجهات التي لا تملك حاجة فيها قبل أن يتم استغلالها بكثرة من البرمجيات الخبيثة. و هذا رابط يحتوي على قائمة من خدمات ال DNS over HTTPS
github.com
github.com
فيديو آخر يظهر استقبالي لطلبات ال DNS من Google بشكل مرتب أكثر
@ZRFAL اثبات. لاحظ يتم استخدام DoH فقط في استيراد ال IP الخاص بال C2 server
جاري تحميل الاقتراحات...