The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"DNS как канал передачи данных от вредоносного ПО"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от opennews (ok) on 30-Июн-16, 11:17 
Исследователи безопасности из компании Cisco обратили (http://blog.talosintel.com/2016/06/detecting-dns-data-exfilt...) внимание на новый способ взаимодействия вредоносного ПО с управляющими серверами, основанный на выполнении операций определения имён в DNS для специально оформленных поддоменов. Например, вредоносное ПО может отправлять данные о перехваченных на системе жертвы паролях и номерах кредитных карт или информировать о поражении новой системы выполняя DNS-запросы вида "log.nu6timjqgq4dimbuhe.3ikfsb[...]cg3.7s3bnxqmavqy7sec.dojfgj.com", в которых при помощи формата base64 в имени поддомена закодированы передаваемые на управляющий сервер данные.


Злоумышленник может принимать данные сообщения, контролируя DNS-сервер для домена dojfgj.com. Механизм достаточно прост в реализации, имеет децентрализованный характер и легко обходит различны межсетевые экраны, вовлекая местные DNS-резолверы в распространение  запросов. Администраторам локальных сетей рекомендуется посмотреть лог  на подконтрольных DNS-серверах - наличие в логе попыток резолвинга подозрительных длинных имён может стать индикатором наличия поражённых вредоносным ПО систем в локальной сети.

URL: http://blog.talosintel.com/2016/06/detecting-dns-data-exfilt...
Новость: http://www.opennet.me/opennews/art.shtml?num=44701

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "DNS как канал передачи данных от вредоносного ПО"  +12 +/
Сообщение от hoopoe email(ok) on 30-Июн-16, 11:17 
эх, такую бы энергию да в мирных целях... :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "DNS как канал передачи данных от вредоносного ПО"  +6 +/
Сообщение от SysA on 30-Июн-16, 11:53 
> эх, такую бы энергию да в мирных целях... :)

А что есть "мирные цели"?.. ;)

Тут ведь тоже как бы ничего "военного" - просто бизнес. каждый пытается заработать как может в пределах своей личной этики, к тому же стараясь получить удовольствие от процесса...

А навредить при желании можно и детскими игрушками, я уж не говорю о товарах из хозяйственного магазина...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

24. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от cordatus (ok) on 30-Июн-16, 19:43 
А вот и пример злодея, который пытается убедить в первую очередь самого себя, в своей правоте.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

26. "DNS как канал передачи данных от вредоносного ПО"  +3 +/
Сообщение от Sw00p aka Jerom on 30-Июн-16, 22:07 
лучший способ, что-либо создать и не навредить - ничего не создавать)
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

50. "DNS как канал передачи данных от вредоносного ПО"  +1 +/
Сообщение от Аноним (??) on 04-Июл-16, 11:13 
> А вот и пример злодея, который пытается убедить в первую очередь самого
> себя, в своей правоте.

По сравнению с российскими законодателями, даже самый наглый кардер - просто пацифист в области информационной безопасности.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

42. "DNS как канал передачи данных от вредоносного ПО"  +1 +/
Сообщение от Аноним (??) on 01-Июл-16, 23:52 
Обычное мирное воровство паролей и крякинг. Хоре распространять свою нравственную бесформенность, и так сложно жить.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

18. "DNS как канал передачи данных от вредоносного ПО"  +9 +/
Сообщение от ivn86 (ok) on 30-Июн-16, 15:17 
В мирных целях это называется ip-over-dns: http://code.kryo.se/iodine/
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

51. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от Аноним (??) on 04-Июл-16, 21:28 
Спасибо, товарищ!
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

2. "DNS как канал передачи данных от вредоносного ПО"  –1 +/
Сообщение от Аноним (??) on 30-Июн-16, 11:34 
В некотором роде подобные случаи, заставляют пересматривать технологии и совершенствовать их
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "DNS как канал передачи данных от вредоносного ПО"  –2 +/
Сообщение от Аноним (??) on 30-Июн-16, 11:42 
О, скоро dns начнет и кофе ванить.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "DNS как канал передачи данных от вредоносного ПО"  +13 +/
Сообщение от Аноним (??) on 30-Июн-16, 11:42 
клоун: Админам предлагается подзаработать, посмотрев в логах DNS номера и PINы чужих кредитных карт.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от cmp (ok) on 30-Июн-16, 13:04 
Палево, а вот продавать телефоны абонов конторам, которые чинят компы - вариант, хотя контролируя траффик вирусню можно и проще детектить, чем логировать днс-запросы, а потом грепать гигабайты скрапа..
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

23. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от кверти (ok) on 30-Июн-16, 19:16 
>клоун:

Я понял теперь твою фишку - тебе лень логиниться, подписываешься прямо в сообщении. Оригинально, чо.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

32. "DNS как канал передачи данных от вредоносного ПО"  –1 +/
Сообщение от Аноним (??) on 01-Июл-16, 00:31 
Просто я уникальный. Сообщения из под Ника "клоун" удаляются сразу после добавления.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

34. "DNS как канал передачи данных от вредоносного ПО"  +2 +/
Сообщение от Какаянахренразница (ok) on 01-Июл-16, 06:19 
> Я понял теперь твою фишку - тебе лень логиниться, подписываешься прямо в сообщении.
> Оригинально, чо.

На третий день индеец Зоркий Глаз заметил. Бедный грустный клоун уже который месяц страдает.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

29. "DNS как канал передачи данных от вредоносного ПО"  +3 +/
Сообщение от НяшМяш (ok) on 30-Июн-16, 22:50 
Глазам своим не верю. Клоун смешно пошутил.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

35. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от Какаянахренразница (ok) on 01-Июл-16, 06:20 
> Глазам своим не верю. Клоун смешно пошутил.

С иронией у него проблем нет. Просто он какой-то не добрый...

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

6. "DNS как канал передачи данных от вредоносного ПО"  +2 +/
Сообщение от Аноним (??) on 30-Июн-16, 11:54 
Зовите мишу, тут офигенная идея для бизнеса
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "DNS как канал передачи данных от вредоносного ПО"  +1 +/
Сообщение от славян on 01-Июл-16, 07:05 
и вы только сейчас заметили что трафик DNS можно использовать как канал передачи данных? действительно как выше упомянули про "зоркий глаз")) хи хи.
днс уже палят на серверах оч давно , просто админы сидящие здесь как то странно заметили только сейчас. вообще можно было организовать и полноценный канал , но вот только его быстрее засекут.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от Аноним (??) on 30-Июн-16, 12:05 
Сформировал оч длинный днс запрос. Надеюсь админ прочитает эту статью, пойдет смотреть длинные запросы в надежде поживиться чужими паролями, а в итоге узнает много нового про свою мамку))))))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от Аноним (??) on 30-Июн-16, 12:31 
Уже был подобны способ спамить - в реферрере спамер передает урл своего сайта, в надежде, что админ туда зайдет
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

43. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от Аноним (??) on 01-Июл-16, 23:56 
> Уже был подобны способ спамить - в реферрере спамер передает урл своего
> сайта, в надежде, что админ туда зайдет

Админ зайдет, и запустится зловред с правами админа. Многоходовка )

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "DNS как канал передачи данных от вредоносного ПО"  –3 +/
Сообщение от Онаним on 30-Июн-16, 13:18 
Ах вот ты где. Зайди ко мне в кабинет, я расскажу как тебя зачал.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

21. "DNS как канал передачи данных от вредоносного ПО"  –2 +/
Сообщение от _ (??) on 30-Июн-16, 17:33 
Вазелина 5 литровую банку припаси, дeб-ил :)
Ибо если админ логает DNS запросы то там есть время и IP - считай что ты паспорт свой приложил! :-))))  
ДЪ (С) Наше всиё Лавров С.В.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

30. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от Аноним (??) on 30-Июн-16, 23:45 
Ты сам-то кто, с такими глубокими познаниями админов, погромист или юзверь?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "DNS как канал передачи данных от вредоносного ПО"  +3 +/
Сообщение от Аноним (??) on 30-Июн-16, 12:28 
https://habrahabr.ru/post/65322/
https://www.opennet.me/tips/2922_dns_file.shtml

Через dns-трафик можно и файлы гонять

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "DNS как канал передачи данных от вредоносного ПО"  +1 +/
Сообщение от lor_anon (ok) on 01-Июл-16, 02:06 
Да, новизна в новости отсутствует.

Давно реализован IP поверх DNS. И тут ВНЕЗАПНО, можно гонять данные и от вредоносных приложений тоже.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от Аноним (??) on 30-Июн-16, 12:51 
А шифровать религия не позволяет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от . on 30-Июн-16, 13:11 
> А шифровать религия не позволяет?

ну так "новый" же способ, открытый брита...подозреваю, рассейским ученым, только что пересдавшим, наконец, хвосты за первый курс.

Остальной мир уже лет десять как использует nstx, iodine и, наверное, еще прорву самодельных туннельчиков.
и да, фигня, разумеется, шифрованная - я как-то унаследовал у хостера айпишник управляющей системы какого-то явно неслабого (судя по траффику и количеству засветившихся клиентов) ботнета, но, увы, так и не придумал, зачем оно мне, а где-то через недельку и владелец спохватился.
Никакой пользы от простого перехвата пакетов вида
IP 62.72.124.225.63345 > me.53: 57868+ A? gpkfqxqhypcpwbsb.www.phxtrade.com.
естестсвенно, нет.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "DNS как канал передачи данных от вредоносного ПО"  –2 +/
Сообщение от Нанобот (ok) on 30-Июн-16, 16:45 
может это был ддос на ns-сервера?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

31. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от Аноним (??) on 30-Июн-16, 23:50 
Ты что, у такого бравого иксперта, который борется туннелированием с валидными dns запросами не может быть ддос.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

40. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от . on 01-Июл-16, 12:47 
ddos это ровно наоборот - мильен запросов напрямую к не/нужному серверу.
А не проксирование их через единичный чужой хост (который ты первым и заддосишь, естественно, если даже он настроен так что согласится твои запросы куда-то форвардить).

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

44. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от t28 on 02-Июл-16, 09:13 
> Остальной мир уже лет десять как использует nstx

Хы-хы-хы! nstx юзал на курсах в аудитории с запароленным инетом гoду, где-то, в 2003—2004-м...

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

27. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от Sw00p aka Jerom on 30-Июн-16, 22:11 
> А шифровать религия не позволяет?

хотя бы тупо ксорить (онтаймпад эдакий)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "DNS как канал передачи данных от вредоносного ПО"  +8 +/
Сообщение от Аноним (??) on 30-Июн-16, 14:19 
Исследователи безопасности из компании Cisco узнали про dns-туннели, ну афигеть теперь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "DNS как канал передачи данных от вредоносного ПО"  –2 +/
Сообщение от modos189 (ok) on 30-Июн-16, 15:15 
В "Младшем брате" читал про передачу видео через DNS
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от fi (ok) on 30-Июн-16, 15:25 
Надо же, только сейчас заметили DNS -  он всегда был удобным инструментом для обхода защиты.

зы но лучше его использовать по прямому назначению - для управления троянами :)))

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "DNS как канал передачи данных от вредоносного ПО"  +2 +/
Сообщение от casm (ok) on 30-Июн-16, 17:47 
> Администраторам локальных сетей рекомендуется посмотреть лог

Ещё следует учесть, что chrome при запуске делает несколько dns запросов на домены вида xqwvykjfei, aghepodlln, jdfhjnmlcx и т.п.
Это видите ли для того, чтобы "быстро определить, находится ли клиент в сети, которая перехватывает и перенаправляет запросы к несуществующим хостам"
https://mikewest.org/2012/02/chrome-connects-to-three-random...
Когда первый раз увидели у себя, долго думали, что за фигня.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "DNS как канал передачи данных от вредоносного ПО"  +2 +/
Сообщение от Аноним (??) on 30-Июн-16, 21:05 
Об этой фиче DNS известно уже как минимум 15 лет! Вот это я понимаю НОВЫЙ способ общения зловредов с серверами.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "DNS как канал передачи данных от вредоносного ПО"  +1 +/
Сообщение от Sw00p aka Jerom on 30-Июн-16, 22:16 
> Об этой фиче DNS известно уже как минимум 15 лет! Вот это
> я понимаю НОВЫЙ способ общения зловредов с серверами.

через твиттер тож могут )

пс: там где под контроллем исходящие соединения и нужен в частности днс - обязательно запросы логируются и потом анализируются, ибо зачем ставить под файервол исходящие соединения, секурности ради? значить обязательно должен проводится анализ логов.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

36. "DNS как канал передачи данных от вредоносного ПО"  –1 +/
Сообщение от Аноним (??) on 01-Июл-16, 06:51 
А ещё можно отправлять данные кредиток азбукой Морзе
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "DNS как канал передачи данных от вредоносного ПО"  +1 +/
Сообщение от fdsa (ok) on 01-Июл-16, 10:21 
>> Исследователи безопасности из компании Cisco обратили внимание на новый способ

этому способу больше чем лет

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "DNS как канал передачи данных от вредоносного ПО"  +1 +/
Сообщение от Andrey Mitrofanov on 01-Июл-16, 12:03 
>>> Исследователи безопасности из компании Cisco обратили внимание на новый способ
> этому способу больше чем лет

На третий день Зоркий Глаз заметил -- он же исследователь, надо публиковаться!

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

41. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от Andrey Mitrofanov on 01-Июл-16, 15:32 
>>>> Исследователи безопасности из компании Cisco обратили внимание на новый способ
>> этому способу больше чем лет
> На третий день Зоркий Глаз заметил -- он же исследователь, надо публиковаться!

Мммм...
    http://www.ixbt.com/news/2016/06/29/cisco-priobretaet-razrab...
Исследователи отрабатывают пиар нового хозяина.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

45. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от Аноним (??) on 02-Июл-16, 13:48 
Не знаю, лет 7 назад уже наблюдал канал DNS для рассылки спама, метод давно используется, поэтому админы-параноики закрывают все сторонние днс-серваки и отслеживают объемы трафика на свои днс сервера (например через zabbix)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "DNS как канал передачи данных от вредоносного ПО"  –1 +/
Сообщение от nc (ok) on 02-Июл-16, 15:24 
Говорят, в старые добрые времена DNS в некоторых случаях использовался для халявного доступа в интернет:) А тут хакеры вспомнили, молодцы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "DNS как канал передачи данных от вредоносного ПО"  –1 +/
Сообщение от alexpn (ok) on 02-Июл-16, 16:04 
Отстал от темы
но может сайт dojfgj.com в днс на 127.0.0.1 посадить ?
как думаете спасет ситуацию ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от Aleks Revo (ok) on 04-Июл-16, 22:36 
Нет, потому что домен в разных случаях будет разный, а это просто пример, можно было и example.com написать.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

48. "DNS как канал передачи данных от вредоносного ПО"  +1 +/
Сообщение от абвгдейка (ok) on 02-Июл-16, 20:03 
с периодичностью раз в 10 лет появляются подобные идеи только на моей памяти и на Опеннете:)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от Аноним (??) on 02-Июл-16, 20:51 
да не, идея на самом деле древняя. и используется не только крииналитетом но и службами для экфсильтрации данных.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

53. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от Нониус on 05-Июл-16, 13:37 
Это что? Очевидные, давно используемые как передовые? Да ТЮ.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

54. "DNS как канал передачи данных от вредоносного ПО"  +/
Сообщение от Нониус on 05-Июл-16, 13:40 
вы ещё snmp, грей днс тот же что и этот,  или замену заголовков IP приплюсуйте. Ну баян же сколько лет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру