当前位置:网站首页 > 黑客培训 > 正文

利用DNS隧道构建隐蔽C&C信道

freebuffreebuf 2021-10-29 323 0

本文来源:AsUWL

背景介绍

无论是高级持续性威胁(APT)、僵尸网络(Botnet),还是勒索软件、后门等,命令与控制信道(Cfont-family:'-apple-system',BlinkMacSystemFont,'Segoe UI',Roboto,Oxygen,Ubuntu,Cantarell,'Open Sans','Helvetica Neue',sans-serif">

配置如下:

1563066239_5d2a7f7fc3cba.png

(2)、生成简单的PowerShell利用脚本(针对windows)

launcher powershell dnsc2 # dnsc2 为(1)中设置的监听名字

#可进入stagers生成其他木马、远控程序,本次实验直接生成最简单PowerShell利用脚本

1563066276_5d2a7fa4b873b.png

注:生成的Powershell代码直接复制并保存,以备在受控windows主机(win7、win10)执行。

(3)、使用(2)中生成的PowerShell脚本,使受控主机上线

在受控主机windows 7中另外(一定保持运行dns2tcp客户端的窗口一直在)开启一个PowerShell窗口,复制PowerShell脚本直接执行。可以看到受控主机以上线。

1563066314_5d2a7fca0cebe.png

(4)、测试C&C信道

进入Empire工具的agents菜单下,使用interact G9E6RCVH进入与受控主机的交互shell,如使用shell systeminfo命令获取受控主机的系统信息如下:

1563066353_5d2a7ff1d1d0a.png

4.5、wireshark抓包情况

在该C&C信道运行并有数据传输时,在客户端进行流量抓包分析,结果如下:

1563066381_5d2a800d26a5a.png

1563066412_5d2a802c7bf51.png

从抓包情况可以看出,通过该C&C信道的流量外部流量全部通过DNS协议封装后进行传输,恶意利用了DNS协议的TXT、A类型,且将数据编码在请求包中。

五、总结与思考

本文方式实现的利用DNS隧道构建的隐蔽C&C信道较为隐蔽,因为DNS协议是当前网络中重要部分之一。大部分企业网络总会允许内网与指定DNS服务器(受信任)的查询、请求数据流量。

本文实现的C&C信道的异常也很明显,可以用于用于异常检测。主要有:

对同一域名及其子域名的请求频次过于频繁

在大数据量传输时,DNS数据包很大,占用带宽较高

可以截获数据包分析,有明显编码特征,而且时非正常DNS数据包

真实攻防环境下,可以在此基本原理基础上进行改进后部署,如利用的DNS查询类型、编码后传输、限制交互频率等。

六、致谢

在本文原理理解和复现设计中,很多关键部分都得到了众多大神(博客、推文)解惑,也感谢我老大给了这方面的思考提示!

【严正声明】: 本文仅限技术技术交流和帮助理解DNS-base隐蔽信道的原理,从而更好应对相关攻击。严禁将本文内容应用于任何攻击动作,否则后果自负!!!

*本文作者:mumufeng06,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

转载请注明来自网盾网络安全培训,本文标题:《利用DNS隧道构建隐蔽C&C信道》

标签:DNS复现设计C&ampampampC信道

关于我

欢迎关注微信公众号

关于我们

网络安全培训,黑客培训,渗透培训,ctf,攻防

标签列表