URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 108415
[ Назад ]

Исходное сообщение
"DNS как канал передачи данных от вредоносного ПО"
Отправлено opennews , 30-Июн-16 11:17

Исследователи безопасности из компании Cisco обратили (http://blog.talosintel.com/2016/06/detecting-dns-data-exfilt...) внимание на новый способ взаимодействия вредоносного ПО с управляющими серверами, основанный на выполнении операций определения имён в DNS для специально оформленных поддоменов. Например, вредоносное ПО может отправлять данные о перехваченных на системе жертвы паролях и номерах кредитных карт или информировать о поражении новой системы выполняя DNS-запросы вида "log.nu6timjqgq4dimbuhe.3ikfsb[...]cg3.7s3bnxqmavqy7sec.dojfgj.com", в которых при помощи формата base64 в имени поддомена закодированы передаваемые на управляющий сервер данные.

Злоумышленник может принимать данные сообщения, контролируя DNS-сервер для домена dojfgj.com. Механизм достаточно прост в реализации, имеет децентрализованный характер и легко обходит различны межсетевые экраны, вовлекая местные DNS-резолверы в распространение запросов. Администраторам локальных сетей рекомендуется посмотреть лог на подконтрольных DNS-серверах - наличие в логе попыток резолвинга подозрительных длинных имён может стать индикатором наличия поражённых вредоносным ПО систем в локальной сети.
URL: http://blog.talosintel.com/2016/06/detecting-dns-data-exfilt...
Новость: http://www.opennet.me/opennews/art.shtml?num=44701

Содержание

DNS как канал передачи данных от вредоносного ПО,hoopoe, 11:17 , 30-Июн-16
- DNS как канал передачи данных от вредоносного ПО,SysA, 11:53 , 30-Июн-16
  - DNS как канал передачи данных от вредоносного ПО,cordatus, 19:43 , 30-Июн-16
    - DNS как канал передачи данных от вредоносного ПО,Sw00p aka Jerom, 22:07 , 30-Июн-16
    - DNS как канал передачи данных от вредоносного ПО,Аноним, 11:13 , 04-Июл-16
  - DNS как канал передачи данных от вредоносного ПО,Аноним, 23:52 , 01-Июл-16
- DNS как канал передачи данных от вредоносного ПО,ivn86, 15:17 , 30-Июн-16
  - DNS как канал передачи данных от вредоносного ПО,Аноним, 21:28 , 04-Июл-16
DNS как канал передачи данных от вредоносного ПО,Аноним, 11:34 , 30-Июн-16
DNS как канал передачи данных от вредоносного ПО,Аноним, 11:42 , 30-Июн-16
DNS как канал передачи данных от вредоносного ПО,Аноним, 11:42 , 30-Июн-16
- DNS как канал передачи данных от вредоносного ПО,cmp, 13:04 , 30-Июн-16
- DNS как канал передачи данных от вредоносного ПО,кверти, 19:16 , 30-Июн-16
  - DNS как канал передачи данных от вредоносного ПО,Аноним, 00:31 , 01-Июл-16
  - DNS как канал передачи данных от вредоносного ПО,Какаянахренразница, 06:19 , 01-Июл-16
- DNS как канал передачи данных от вредоносного ПО,НяшМяш, 22:50 , 30-Июн-16
  - DNS как канал передачи данных от вредоносного ПО,Какаянахренразница, 06:20 , 01-Июл-16
DNS как канал передачи данных от вредоносного ПО,Аноним, 11:54 , 30-Июн-16
- DNS как канал передачи данных от вредоносного ПО,славян, 07:05 , 01-Июл-16
DNS как канал передачи данных от вредоносного ПО,Аноним, 12:05 , 30-Июн-16
- DNS как канал передачи данных от вредоносного ПО,Аноним, 12:31 , 30-Июн-16
  - DNS как канал передачи данных от вредоносного ПО,Аноним, 23:56 , 01-Июл-16
- DNS как канал передачи данных от вредоносного ПО,Онаним, 13:18 , 30-Июн-16
- DNS как канал передачи данных от вредоносного ПО,_, 17:33 , 30-Июн-16
- DNS как канал передачи данных от вредоносного ПО,Аноним, 23:45 , 30-Июн-16
DNS как канал передачи данных от вредоносного ПО,Аноним, 12:28 , 30-Июн-16
- DNS как канал передачи данных от вредоносного ПО,lor_anon, 02:06 , 01-Июл-16
DNS как канал передачи данных от вредоносного ПО,Аноним, 12:51 , 30-Июн-16
- DNS как канал передачи данных от вредоносного ПО,., 13:11 , 30-Июн-16
  - DNS как канал передачи данных от вредоносного ПО,Нанобот, 16:45 , 30-Июн-16
    - DNS как канал передачи данных от вредоносного ПО,Аноним, 23:50 , 30-Июн-16
    - DNS как канал передачи данных от вредоносного ПО,., 12:47 , 01-Июл-16
  - DNS как канал передачи данных от вредоносного ПО,t28, 09:13 , 02-Июл-16
- DNS как канал передачи данных от вредоносного ПО,Sw00p aka Jerom, 22:11 , 30-Июн-16
DNS как канал передачи данных от вредоносного ПО,Аноним, 14:19 , 30-Июн-16
DNS как канал передачи данных от вредоносного ПО,modos189, 15:15 , 30-Июн-16
DNS как канал передачи данных от вредоносного ПО,fi, 15:25 , 30-Июн-16
DNS как канал передачи данных от вредоносного ПО,casm, 17:47 , 30-Июн-16
DNS как канал передачи данных от вредоносного ПО,Аноним, 21:05 , 30-Июн-16
- DNS как канал передачи данных от вредоносного ПО,Sw00p aka Jerom, 22:16 , 30-Июн-16
DNS как канал передачи данных от вредоносного ПО,Аноним, 06:51 , 01-Июл-16
DNS как канал передачи данных от вредоносного ПО,fdsa, 10:21 , 01-Июл-16
- DNS как канал передачи данных от вредоносного ПО,Andrey Mitrofanov, 12:03 , 01-Июл-16
  - DNS как канал передачи данных от вредоносного ПО,Andrey Mitrofanov, 15:32 , 01-Июл-16
DNS как канал передачи данных от вредоносного ПО,Аноним, 13:48 , 02-Июл-16
DNS как канал передачи данных от вредоносного ПО,nc, 15:24 , 02-Июл-16
DNS как канал передачи данных от вредоносного ПО,alexpn, 16:04 , 02-Июл-16
- DNS как канал передачи данных от вредоносного ПО,Aleks Revo, 22:36 , 04-Июл-16
DNS как канал передачи данных от вредоносного ПО,абвгдейка, 20:03 , 02-Июл-16
- DNS как канал передачи данных от вредоносного ПО,Аноним, 20:51 , 02-Июл-16
DNS как канал передачи данных от вредоносного ПО,Нониус, 13:37 , 05-Июл-16
DNS как канал передачи данных от вредоносного ПО,Нониус, 13:40 , 05-Июл-16

Сообщения в этом обсуждении

"DNS как канал передачи данных от вредоносного ПО"
Отправлено hoopoe , 30-Июн-16 11:17

эх, такую бы энергию да в мирных целях... :)

"DNS как канал передачи данных от вредоносного ПО"
Отправлено SysA , 30-Июн-16 11:53

> эх, такую бы энергию да в мирных целях... :)
А что есть "мирные цели"?.. ;)
Тут ведь тоже как бы ничего "военного" - просто бизнес. каждый пытается заработать как может в пределах своей личной этики, к тому же стараясь получить удовольствие от процесса...
А навредить при желании можно и детскими игрушками, я уж не говорю о товарах из хозяйственного магазина...

"DNS как канал передачи данных от вредоносного ПО"
Отправлено cordatus , 30-Июн-16 19:43

А вот и пример злодея, который пытается убедить в первую очередь самого себя, в своей правоте.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Sw00p aka Jerom , 30-Июн-16 22:07

лучший способ, что-либо создать и не навредить - ничего не создавать)

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 04-Июл-16 11:13

> А вот и пример злодея, который пытается убедить в первую очередь самого
> себя, в своей правоте.
По сравнению с российскими законодателями, даже самый наглый кардер - просто пацифист в области информационной безопасности.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 01-Июл-16 23:52

Обычное мирное воровство паролей и крякинг. Хоре распространять свою нравственную бесформенность, и так сложно жить.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено ivn86 , 30-Июн-16 15:17

В мирных целях это называется ip-over-dns: http://code.kryo.se/iodine/

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 04-Июл-16 21:28

Спасибо, товарищ!

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 30-Июн-16 11:34

В некотором роде подобные случаи, заставляют пересматривать технологии и совершенствовать их

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 30-Июн-16 11:42

О, скоро dns начнет и кофе ванить.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 30-Июн-16 11:42

клоун: Админам предлагается подзаработать, посмотрев в логах DNS номера и PINы чужих кредитных карт.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено cmp , 30-Июн-16 13:04

Палево, а вот продавать телефоны абонов конторам, которые чинят компы - вариант, хотя контролируя траффик вирусню можно и проще детектить, чем логировать днс-запросы, а потом грепать гигабайты скрапа..

"DNS как канал передачи данных от вредоносного ПО"
Отправлено кверти , 30-Июн-16 19:16

>клоун:
Я понял теперь твою фишку - тебе лень логиниться, подписываешься прямо в сообщении. Оригинально, чо.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 01-Июл-16 00:31

Просто я уникальный. Сообщения из под Ника "клоун" удаляются сразу после добавления.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Какаянахренразница , 01-Июл-16 06:19

> Я понял теперь твою фишку - тебе лень логиниться, подписываешься прямо в сообщении.
> Оригинально, чо.
На третий день индеец Зоркий Глаз заметил. Бедный грустный клоун уже который месяц страдает.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено НяшМяш , 30-Июн-16 22:50

Глазам своим не верю. Клоун смешно пошутил.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Какаянахренразница , 01-Июл-16 06:20

> Глазам своим не верю. Клоун смешно пошутил.
С иронией у него проблем нет. Просто он какой-то не добрый...

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 30-Июн-16 11:54

Зовите мишу, тут офигенная идея для бизнеса

"DNS как канал передачи данных от вредоносного ПО"
Отправлено славян , 01-Июл-16 07:05

и вы только сейчас заметили что трафик DNS можно использовать как канал передачи данных? действительно как выше упомянули про "зоркий глаз")) хи хи.
днс уже палят на серверах оч давно , просто админы сидящие здесь как то странно заметили только сейчас. вообще можно было организовать и полноценный канал , но вот только его быстрее засекут.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 30-Июн-16 12:05

Сформировал оч длинный днс запрос. Надеюсь админ прочитает эту статью, пойдет смотреть длинные запросы в надежде поживиться чужими паролями, а в итоге узнает много нового про свою мамку))))))

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 30-Июн-16 12:31

Уже был подобны способ спамить - в реферрере спамер передает урл своего сайта, в надежде, что админ туда зайдет

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 01-Июл-16 23:56

> Уже был подобны способ спамить - в реферрере спамер передает урл своего
> сайта, в надежде, что админ туда зайдет
Админ зайдет, и запустится зловред с правами админа. Многоходовка )

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Онаним , 30-Июн-16 13:18

Ах вот ты где. Зайди ко мне в кабинет, я расскажу как тебя зачал.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено _ , 30-Июн-16 17:33

Вазелина 5 литровую банку припаси, дeб-ил :)
Ибо если админ логает DNS запросы то там есть время и IP - считай что ты паспорт свой приложил! :-))))
ДЪ (С) Наше всиё Лавров С.В.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 30-Июн-16 23:45

Ты сам-то кто, с такими глубокими познаниями админов, погромист или юзверь?

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 30-Июн-16 12:28

https://habrahabr.ru/post/65322/
https://www.opennet.me/tips/2922_dns_file.shtml
Через dns-трафик можно и файлы гонять

"DNS как канал передачи данных от вредоносного ПО"
Отправлено lor_anon , 01-Июл-16 02:06

Да, новизна в новости отсутствует.
Давно реализован IP поверх DNS. И тут ВНЕЗАПНО, можно гонять данные и от вредоносных приложений тоже.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 30-Июн-16 12:51

А шифровать религия не позволяет?

"DNS как канал передачи данных от вредоносного ПО"
Отправлено . , 30-Июн-16 13:11

> А шифровать религия не позволяет?
ну так "новый" же способ, открытый брита...подозреваю, рассейским ученым, только что пересдавшим, наконец, хвосты за первый курс.
Остальной мир уже лет десять как использует nstx, iodine и, наверное, еще прорву самодельных туннельчиков.
и да, фигня, разумеется, шифрованная - я как-то унаследовал у хостера айпишник управляющей системы какого-то явно неслабого (судя по траффику и количеству засветившихся клиентов) ботнета, но, увы, так и не придумал, зачем оно мне, а где-то через недельку и владелец спохватился.
Никакой пользы от простого перехвата пакетов вида
IP 62.72.124.225.63345 > me.53: 57868+ A? gpkfqxqhypcpwbsb.www.phxtrade.com.
естестсвенно, нет.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Нанобот , 30-Июн-16 16:45

может это был ддос на ns-сервера?

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 30-Июн-16 23:50

Ты что, у такого бравого иксперта, который борется туннелированием с валидными dns запросами не может быть ддос.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено . , 01-Июл-16 12:47

ddos это ровно наоборот - мильен запросов напрямую к не/нужному серверу.
А не проксирование их через единичный чужой хост (который ты первым и заддосишь, естественно, если даже он настроен так что согласится твои запросы куда-то форвардить).

"DNS как канал передачи данных от вредоносного ПО"
Отправлено t28 , 02-Июл-16 09:13

> Остальной мир уже лет десять как использует nstx
Хы-хы-хы! nstx юзал на курсах в аудитории с запароленным инетом гoду, где-то, в 2003—2004-м...

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Sw00p aka Jerom , 30-Июн-16 22:11

> А шифровать религия не позволяет?
хотя бы тупо ксорить (онтаймпад эдакий)

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 30-Июн-16 14:19

Исследователи безопасности из компании Cisco узнали про dns-туннели, ну афигеть теперь.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено modos189 , 30-Июн-16 15:15

В "Младшем брате" читал про передачу видео через DNS

"DNS как канал передачи данных от вредоносного ПО"
Отправлено fi , 30-Июн-16 15:25

Надо же, только сейчас заметили DNS - он всегда был удобным инструментом для обхода защиты.
зы но лучше его использовать по прямому назначению - для управления троянами :)))

"DNS как канал передачи данных от вредоносного ПО"
Отправлено casm , 30-Июн-16 17:47

> Администраторам локальных сетей рекомендуется посмотреть лог
Ещё следует учесть, что chrome при запуске делает несколько dns запросов на домены вида xqwvykjfei, aghepodlln, jdfhjnmlcx и т.п.
Это видите ли для того, чтобы "быстро определить, находится ли клиент в сети, которая перехватывает и перенаправляет запросы к несуществующим хостам"
https://mikewest.org/2012/02/chrome-connects-to-three-random...
Когда первый раз увидели у себя, долго думали, что за фигня.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 30-Июн-16 21:05

Об этой фиче DNS известно уже как минимум 15 лет! Вот это я понимаю НОВЫЙ способ общения зловредов с серверами.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Sw00p aka Jerom , 30-Июн-16 22:16

> Об этой фиче DNS известно уже как минимум 15 лет! Вот это
> я понимаю НОВЫЙ способ общения зловредов с серверами.
через твиттер тож могут )
пс: там где под контроллем исходящие соединения и нужен в частности днс - обязательно запросы логируются и потом анализируются, ибо зачем ставить под файервол исходящие соединения, секурности ради? значить обязательно должен проводится анализ логов.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 01-Июл-16 06:51

А ещё можно отправлять данные кредиток азбукой Морзе

"DNS как канал передачи данных от вредоносного ПО"
Отправлено fdsa , 01-Июл-16 10:21

>> Исследователи безопасности из компании Cisco обратили внимание на новый способ
этому способу больше чем лет

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Andrey Mitrofanov , 01-Июл-16 12:03

>>> Исследователи безопасности из компании Cisco обратили внимание на новый способ
> этому способу больше чем лет
На третий день Зоркий Глаз заметил -- он же исследователь, надо публиковаться!

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Andrey Mitrofanov , 01-Июл-16 15:32

>>>> Исследователи безопасности из компании Cisco обратили внимание на новый способ
>> этому способу больше чем лет
> На третий день Зоркий Глаз заметил -- он же исследователь, надо публиковаться!
Мммм...
http://www.ixbt.com/news/2016/06/29/cisco-priobretaet-razrab...
Исследователи отрабатывают пиар нового хозяина.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 02-Июл-16 13:48

Не знаю, лет 7 назад уже наблюдал канал DNS для рассылки спама, метод давно используется, поэтому админы-параноики закрывают все сторонние днс-серваки и отслеживают объемы трафика на свои днс сервера (например через zabbix)

"DNS как канал передачи данных от вредоносного ПО"
Отправлено nc , 02-Июл-16 15:24

Говорят, в старые добрые времена DNS в некоторых случаях использовался для халявного доступа в интернет:) А тут хакеры вспомнили, молодцы.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено alexpn , 02-Июл-16 16:04

Отстал от темы
но может сайт dojfgj.com в днс на 127.0.0.1 посадить ?
как думаете спасет ситуацию ?

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Aleks Revo , 04-Июл-16 22:36

Нет, потому что домен в разных случаях будет разный, а это просто пример, можно было и example.com написать.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено абвгдейка , 02-Июл-16 20:03

с периодичностью раз в 10 лет появляются подобные идеи только на моей памяти и на Опеннете:)

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Аноним , 02-Июл-16 20:51

да не, идея на самом деле древняя. и используется не только крииналитетом но и службами для экфсильтрации данных.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Нониус , 05-Июл-16 13:37

Это что? Очевидные, давно используемые как передовые? Да ТЮ.

"DNS как канал передачи данных от вредоносного ПО"
Отправлено Нониус , 05-Июл-16 13:40

вы ещё snmp, грей днс тот же что и этот, или замену заголовков IP приплюсуйте. Ну баян же сколько лет.