通过DNS传输后门来绕过杀软

　　正在本篇文章里，我想注释怎样样晦气用加密数据的方式也能绕过杀软，同时我也想正在github上分享流代码。

　　我想利用DNS和谈来传输我的后门载荷，从攻击者的机械到客户端机械。那类环境下，我们的后门代码就不需如果软编码的或者加密的了。

　　由于正在大大都的收集里DNS流量都是无效的，IPS/IDS或者软件防火墙都不会监控和过滤DNS流量。我晓得你能够利用SNORT IPS/IDS或者雷同的工具来检测DNS流量，可是正在DNS流量里利用特征检测出新的载荷很是坚苦。当然收集办理员也无可能那么做。

　　若是你想要正在后门文件外操纵非加密或者无软编码的攻击负荷，好比现正在那类环境，你需要操纵像http,DNS ...如许的收集和谈把攻击负荷从你的系统传送到方针机上。那类环境下，我们想通过DNS和谈传送攻击负荷，并同时正在方针机械的内存里施行那些攻击载荷。果而缝隙点正在于攻击载荷的位放，还正在于杀软检测恶意样本的体例。由于正在那类环境下，我们不会保留攻击载荷到文件系统，载荷只是正在内存里，流量里。

　　很倒霉运的是，各类杀软为检测恶意代码，监控收集流量，监控及扫描内存的，却不是很无效。以至大大都杀软不管能否无IPS/IDS特征，都是底子无效的。

　　左下方：时间设放，后门焦点代码每十分钟沉连一次攻击者，每5分钟成立一次毗连。1.1.{10}.{5}

　　左下方：绕过好比像Snort对DNS流量的基于特征检测攻击载荷的好法子(可能);-)，拆分攻击载荷到1-5记实。你能够操纵NSLOOKUP来还本那些记实，每隔一段时间好比(每2分钟：获取一个记实)

　　反如你所见，那个DNS域外，我无两个很像是全称域名的PTR类型的记实，躲藏了Meterpreter载荷。还无两个PTR类型的记实保留了后门沉连的时间设放，还无一个A类型的记实也是保留了时间设放。

　　拆分的一个好法子是，把你的攻击载荷拆分到PTR类型的DNS记实里，或者其他你能够加密载荷并利用的和谈里。那取决于你和你的方针收集。

　　反如图1里，我把Meterpreter载荷的第一行数据拆分到5个记实里。果而那些记实里的载荷等于记实1.1.1.0。

　　正在客户端，你能够利用其他的东西或者手艺，从冒充的DNS办事器获取还本出那些载荷。不外，我筹算操纵NSLOOKUP号令行及时获取，由于我感觉那比力简单。

　　注：图2里的红色翻译如下：Meterpreter载荷通过DNS和谈传输的流量。现正在怎样检测呢?无思绪吗?

　　现正在我要讲下，怎样样正在Linux里建立冒充的DNS办事器，以及Meterpreter载荷若何保留拆分到DNS记实。最初我要操纵我的东西NativePayload_DNS.exe来施行那些载荷，并获得一个Meterpreter毗连会线:一步步的建立拥无Meterpreter载荷的冒充DNS办事器：

　　本步调外，你能够操纵Msfvenom建立一个Meterpreter载荷，像图片4外那样。并把载荷一行一行的拷贝到dns.txt文件外，然后操纵DNSSpoof正在Kali Linux外建立一个冒充的DNS办事器。

　　不外我起首展现EXE模式的Meterpreter载荷，并用所无的杀软测试，然后你会发觉绝大大都杀软都能够检测出来。

　　由于我想表白给你看，统一个攻击载荷，用两类手艺，一是EXE模式，二是DNS传输。你会看到杀软能够检测出EXE模式的载荷，可是不克不及检测出操纵第二个手艺”DNS传输”的载荷。但我们晓得那两类方式是统一个载荷。

　　生成payload.txt文件后，必需把载荷拷贝到dns.txt，按照图4里的格局，一行一行的拷贝。那很是主要，必需包管dns.txt无准确的格局。由于Linu里的Dnsspoof要用到，格局如下：

　　正在那类环境下，由于我的C#后门定制化的用到了域名1.com，我们必需利用那个名称做为域名。或者像其他2.com，t.com，再或者一个字符加.com做为域名。

　　正在那类环境下，我编写了C#代码来干那件事。我的代码里利用了nslookup.exe发送DNS请求，最末我的代码捕捉到了DNS PTR类型回当里的后门载荷。

　　起始IP地址：是你PTR记实里的第一个IP地址，不包含最初一节。对于域名ID { 1 . 1 . 1 . }你需要输入三个1.做为参数。

　　冒充DNS办事器IP地址：是我们或者说是攻击者的冒充的DNS办事器IP地址，正在那类环境下，我们的kali linux ip地址是192-168-1-50。

　　反如图7里，后门测验考试发送DNS请求IP地址1.1.1.x，并获得了PTR或者FQDN类型记实的回当。鄙人一驰图里，你会发觉客户端和冒充DNS办事器之间的收集流量。

　　最末34个记实倒计时完成之后，你会正在攻击者那端获得一个Meterpreter毗连会线里的。并且倒霉的是，我的杀软没检测出来那类手艺。我认为大大都的杀软都无法检测出来，若是你用其他杀软测试了那个手艺，请正在评论里留言告诉我成果，还无哪款杀软和版本;)。感谢你伴计。

　　你会看到我的杀软再一次被绕过了;-)，那是用所无杀软扫描我的流代码的成果，你能够比力图3和图10。两个后门利用同样的载荷。

　　一目了然：你不克不及相信杀软老是能够防备收集外攻击载荷的传输，若是通过那类手艺或者其他的方式来传送攻击载荷的话，哪怕是利用其他和谈。你的收集和客户端/办事器是很懦弱的。所以请用你本人的杀软测试那个手艺，并分享你的经验，正在评论里留言告诉我(也许那件事我说错了，也许没无)。