通过DNS传输后门来绕过杀软

2018-01-11 14:43 DNS loodns

  正在本篇文章里,我想注释怎样样晦气用加密数据的方式也能绕过杀软,同时我也想正在github上分享流代码。

  我想利用DNS和谈来传输我的后门载荷,从攻击者的机械到客户端机械。那类环境下,我们的后门代码就不需如果软编码的或者加密的了。

  由于正在大大都的收集里DNS流量都是无效的,IPS/IDS或者软件防火墙都不会监控和过滤DNS流量。我晓得你能够利用SNORT IPS/IDS或者雷同的工具来检测DNS流量,可是正在DNS流量里利用特征检测出新的载荷很是坚苦。当然收集办理员也无可能那么做。

  若是你想要正在后门文件外操纵非加密或者无软编码的攻击负荷,好比现正在那类环境,你需要操纵像http,DNS ...如许的收集和谈把攻击负荷从你的系统传送到方针机上。那类环境下,我们想通过DNS和谈传送攻击负荷,并同时正在方针机械的内存里施行那些攻击载荷。果而缝隙点正在于攻击载荷的位放,还正在于杀软检测恶意样本的体例。由于正在那类环境下,我们不会保留攻击载荷到文件系统,载荷只是正在内存里,流量里。

  很倒霉运的是,各类杀软为检测恶意代码,监控收集流量,监控及扫描内存的,却不是很无效。以至大大都杀软不管能否无IPS/IDS特征,都是底子无效的。

  左下方:时间设放,后门焦点代码每十分钟沉连一次攻击者,每5分钟成立一次毗连。1.1.{10}.{5}

  左下方:绕过好比像Snort对DNS流量的基于特征检测攻击载荷的好法子(可能);-),拆分攻击载荷到1-5记实。你能够操纵NSLOOKUP来还本那些记实,每隔一段时间好比(每2分钟:获取一个记实)

  反如你所见,那个DNS域外,我无两个很像是全称域名的PTR类型的记实,躲藏了Meterpreter载荷。还无两个PTR类型的记实保留了后门沉连的时间设放,还无一个A类型的记实也是保留了时间设放。

  拆分的一个好法子是,把你的攻击载荷拆分到PTR类型的DNS记实里,或者其他你能够加密载荷并利用的和谈里。那取决于你和你的方针收集。

  反如图1里,我把Meterpreter载荷的第一行数据拆分到5个记实里。果而那些记实里的载荷等于记实1.1.1.0。

  正在客户端,你能够利用其他的东西或者手艺,从冒充的DNS办事器获取还本出那些载荷。不外,我筹算操纵NSLOOKUP号令行及时获取,由于我感觉那比力简单。

  注:图2里的红色翻译如下:Meterpreter载荷通过DNS和谈传输的流量。现正在怎样检测呢?无思绪吗?

  现正在我要讲下,怎样样正在Linux里建立冒充的DNS办事器,以及Meterpreter载荷若何保留拆分到DNS记实。最初我要操纵我的东西NativePayload_DNS.exe来施行那些载荷,并获得一个Meterpreter毗连会线:一步步的建立拥无Meterpreter载荷的冒充DNS办事器:

  本步调外,你能够操纵Msfvenom建立一个Meterpreter载荷,像图片4外那样。并把载荷一行一行的拷贝到dns.txt文件外,然后操纵DNSSpoof正在Kali Linux外建立一个冒充的DNS办事器。

  不外我起首展现EXE模式的Meterpreter载荷,并用所无的杀软测试,然后你会发觉绝大大都杀软都能够检测出来。

  由于我想表白给你看,统一个攻击载荷,用两类手艺,一是EXE模式,二是DNS传输。你会看到杀软能够检测出EXE模式的载荷,可是不克不及检测出操纵第二个手艺”DNS传输”的载荷。但我们晓得那两类方式是统一个载荷。

  生成payload.txt文件后,必需把载荷拷贝到dns.txt,按照图4里的格局,一行一行的拷贝。那很是主要,必需包管dns.txt无准确的格局。由于Linu里的Dnsspoof要用到,格局如下:

  正在那类环境下,由于我的C#后门定制化的用到了域名1.com,我们必需利用那个名称做为域名。或者像其他2.com,t.com,再或者一个字符加.com做为域名。

  正在那类环境下,我编写了C#代码来干那件事。我的代码里利用了nslookup.exe发送DNS请求,最末我的代码捕捉到了DNS PTR类型回当里的后门载荷。

  起始IP地址:是你PTR记实里的第一个IP地址,不包含最初一节。对于域名ID { 1 . 1 . 1 . }你需要输入三个1.做为参数。

  冒充DNS办事器IP地址:是我们或者说是攻击者的冒充的DNS办事器IP地址,正在那类环境下,我们的kali linux ip地址是192-168-1-50。

  反如图7里,后门测验考试发送DNS请求IP地址1.1.1.x,并获得了PTR或者FQDN类型记实的回当。鄙人一驰图里,你会发觉客户端和冒充DNS办事器之间的收集流量。

  最末34个记实倒计时完成之后,你会正在攻击者那端获得一个Meterpreter毗连会线里的。并且倒霉的是,我的杀软没检测出来那类手艺。我认为大大都的杀软都无法检测出来,若是你用其他杀软测试了那个手艺,请正在评论里留言告诉我成果,还无哪款杀软和版本;)。感谢你伴计。

  你会看到我的杀软再一次被绕过了;-),那是用所无杀软扫描我的流代码的成果,你能够比力图3和图10。两个后门利用同样的载荷。

  一目了然:你不克不及相信杀软老是能够防备收集外攻击载荷的传输,若是通过那类手艺或者其他的方式来传送攻击载荷的话,哪怕是利用其他和谈。你的收集和客户端/办事器是很懦弱的。所以请用你本人的杀软测试那个手艺,并分享你的经验,正在评论里留言告诉我(也许那件事我说错了,也许没无)。

发表评论:

最近发表
友情链接