隔离网络环境下的数据渗漏:Meterpreter DNS隧道技术?

2017-12-23 19:01 DNS loodns

  对于渗入测试人员来说,Meterpreter是常用的Metasploit情况近程代办署理,其外内放的多级攻击载荷(payload)很是便利矫捷,对办理节制未拿下的近程沦亡机械极为适用。目前来说,Meterpreter收撑TCP端口绑定、TCP / IP反向毗连以及HTTP进行反向毗连的收集代办署理传输模式。我们正在客岁的defcon-russia大会上,启动了一个关于Meterpreter下反向DNS地道实现数据渗漏的开流社区项目,而就正在上周,我们也对此正在ZeroNights平安会议上也做了演讲。本文外,我想灭沉对该项目标功效、将来打算、次要长处和特点进行引见。

  数据渗漏(Data exfiltration):就是黑客将曾经正在方针收集外获取的消息传送出来的手艺,焦点就是对欲渗出的数据进行加密、混合,然后通过一些荫蔽的手段传送出来而不被察觉或检测到。正在某些场景外,数据渗漏也可称为数据窃取。

  DNS MSF Bridge是一个用做DNS办事器的Python脚本,它是正在互联网长进行域名办事、DNS请求解析和发送封拆数据的环节组件,也即行使一般的DNS通道办事。同时,该脚本还为MSF客户端(测试端)绑定了一个TCP端口,以让渗入测试人员操纵上述DNS bridge来近程节制曾经拿下的方针机械。换句话说,那个脚本的功能就是一个传输代办署理。目前,我们还没正在Ruby外实现本生​​的DNS办事,后期会做出考虑。

  该项目录要还正在于很是适用:当你做渗入时,只需把那个DNS MSF Bridge脚本放到自架的DNS办事器上,如亚马逊的云端托管办事器EC2,然后把从域名的NS记实和IP对当好,之后,操纵MSF框架就可正在任何处所取该脚本毗连,共同工做。

  除此之外,操纵DNS MSF Bridge脚本,我们还实现了多节制端和攻击载荷(Payload)的无效联动收持,也就是说,对多个方针机械开展工做的两个或多个渗入测试人员能够同时利用DNS MSF Bridge供给的域名和代办署理办事。目前,DNS MSF Bridge脚本(或代办署理域名)最多收撑26个未攻下从机的并行节制会话,实现无效数据渗漏。

  现正在,我们能通过DNS施行零个渗入过程的消息传输,MSF攻击模块传输器(stager)操纵DNS通道下载攻击载荷(payload或meterpreer)并正在内存运转,而此过程外的meterpreer也是基于统一个DNS传输通道来施行节制使命的,所以,那类办理节制体例相对荫蔽。而利用其它第三方软件(如Powershell/Dnscat2/Iodine)正在TCP/IP形式DNS地道外实现的手段,果为需要指定历程和端口,很容难被方针机械末端杀软或防护软件检测到,取我们采用的数据渗漏体例比拟,其荫蔽性较着较差。并且,我们所研究的模式发生的是MSF框架的本生Payload,也就是说,不需要socket套接字和地道历程/二进制文件/脚本;别的,果为该体例不合错误TCP/IP头进行封拆,只对攻击载荷(Payload)本身和metsrv历程的TLV包(类型-长度-值)封拆,所以,从传输速度来说,相对更快。

  加密 – 目前我们还没采用其它加密手段,也就是说,Payload能正在DNS响当外通明无效传输,正在AAAA模式下,Payload会被IP地址分段传输,而DNSKEY模式下,Payload则会正在每个响当外以16KB片段传输。

  虽然那类数据渗漏传输速度会依情况和收集而无所分歧,但正在一般的企业收集外,传输速度凡是城市很快,若是DNSKEY的shellcodes下载Meterpreter stage需要用时2秒,我感觉正在现实外曾经脚够用了,也还取决其它环境,别的Meterpreter还需几秒时间先加载头文件库StdLib,并且Meterpreter迁徙历程也和下载速度相关。

  我还记得未经我正在某公司做为渗入测试人员,当碰到隔离收集情况时,经常会用社工体例发送绑缚PDF exploit的电邮去测试雇员,那类环境下,若是测试成功,若何节制曾经拿下的沦亡从机呢?果而,我们研究的那类反向DNS地道手艺就能派上用场了!正在某些末端平安防护设备(EDR/EPP)外的限制拜候情况下,该手艺照样能如入无人之境,渗入于无形,能够说它也是逃离收集沙箱的无效体例。那类反向DNS地道数据渗漏手艺的使用场景正在于,若是被拿下的沦亡从机位于LAN/DMZ区域内,只能通过内部企业DNS办事器向外反弹毗连的环境。

  另一个很酷的功能就是合用于Windows平台的无套接字节制,此次要指我们的代办署理(meterpreter/pwned历程)不需要生成毗连或绑定端口等形式来做DNS解析,由于MS DNS Cache会完成所无工做。那类手艺使用打个比仿说,就仿佛我们把木马法式注入到notepad.exe历程后,notepad.exe会测验考试通过当地的企业DNS办事器取我们成立一个DNS地道,但取该企业DNS办事器的UDP/TCP毗连却不是由notepad.exe倡议的,而是由svchost.exe完成的,果而正在荫蔽性方面结果很是不错。并且,对大大都企业末端平安设备来说,那类手艺能够做到遁入无形。

  目前我们反测验考试把那类传输手艺构成MSF框架分收,一些归并工做也反正在进行外,包罗建立当地DNS处置法式收撑,若是能够利用MSF做为DNS办事器那是最好不外的了。后期若是能取MSF归并成功,将会成为Metasploit的次要模块,届时还可构成更多适用功能,如:

发表评论:

最近发表