DEFCON 21. DNS会议可能对您的健康有害。 第二部分

DEFCON 21. DNS会议可能对您的健康有害。 第一部分

假定组织的域边界是foo.com，并且您永远都不想使用www.com 。 Microsoft更改了此DNS行为，因为显然，并非所有组织都有两个级别的域名。



如果您的顶级域是英国，则在连接到特定的ad.foo.co.uk域时，默认的DNS行为将如下所示：



也就是说，该请求将在www.co.uk上您的域名之外发送。 因此，创建了一个随机修补程序，该安全修补程序将域的组织范围缩小到3，在这种情况下，在第二个请求www.foo.co.uk之后，DNS分发停止了。



但是在我们的域名示例中，此安全修复程序旨在阻止不必要的广告投放，它破坏了数十万家客户公司，这些公司的域名设计取决于原始的原始DNS行为。 这些公司在做什么？ 他们是否更改基础结构的设计以匹配考虑了此随机修补程序的新行为？ 不，他们将行为改回到以前的状态。

以下幻灯片显示了Microsoft在创建DNS查询之前使用的决策树。

我知道它看起来很简单（笑），当然，您可能会对有人误解它感到惊讶。



之后，对该DNS行为进行了数十种修复和更新，这些修订和更新因版本而异。 但是他们记录了一次，如果该树的一个分支发生了更改，则完全破坏了您使用DNS的方式，并且您无法更改设置以恢复原始行为。 您遇到了问题，因为每个新更新的设置都不同。 也许某些事情会破裂，或者可能不会破裂，也就是说，您根本不会想到的事情可能会发生。

因此，公司通过注册或组策略编辑来进行更改，尝试还原原始DNS行为，但是其中一些行为在其他修订包更改了行为的情况下无法正确执行。 他们试图回滚更改以恢复这种丢失的行为，因为他们希望客户能够再次访问foo.com。



但是在大多数情况下，当他们无法恢复两级权力下放时，他们只是摆脱了原来的两级限制。 谢谢Microsoft，对于Windows 7-现在您可以将三个默认域级别更改为2，但是系统不允许您将它们减小为一个。



您可能会认为现在一切都已固定，但是BYOD设备和使用XP配置的移动设备呢？ 我决定检查那里仍然可以存在多少个损坏的配置。 我已经注册了仅在公司环境中常用的几个域。

第一个域是Microsoft Office Communicator的缩写，它请求一个内部SIP服务器。 我在Google上找到的接下来的两个名称是Web代理包含的密钥注册表项的缩写名称，因此我将这些名称分配给服务器，并等待客户端与我联系。 他们做到了。



在注册sipinternal.com之后，我开始收到来自办公室沟通者的请求-幻灯片显示了一个注册DHL资源之一的请求示例，事实证明，世界上有成千上万的随机设备试图向我注册。



我和他们玩了一点，看起来像是恶意SIP服务器对客户端通信器进行的几次攻击。 这是我的下一个关于proxy-phoenix.com的故事



有几个来自IBM和HP的最终用户开始要求我成为他们的代理服务器，现在他们在Phoenix中有一个客户端，“将”代理凤凰作为其用户的简称。 我认为这很有趣。 但是set-proxy.com变得更加有趣。

我收到的第一个请求是成千上万的Windows客户端尝试下载代理安装软件包文件。 我发现源IP地址已向Arthur Andersen注册，Arthur Andersen是一家失败的会计公司，但该公司已因Enron破产。



埃森哲已从其咨询小组中分离出来，这在下一部分将更有意义。 它表明他们使用移动设备的政策已经崩溃（笑）。



他们提倡通过缩写域名引用代理程序包位置的配置。 成千上万的iPhone和iPad响应了这个短名称，并开始要求我向他们提供这些文件包。 甚至这种配置不允许客户端获得他们所请求的内容的事实也没有使他们思考，他们绕过代理直接进入Internet向我请求这些文件。

仔细观察后，我发现我不仅收到了埃森哲的请求，而且还收到了与该公司网络连接的客户的请求。 因此，通过不正确的DNS，埃森哲不仅破坏了其本地网络，而且还破坏了与其连接的所有客户端的网络，从而允许入侵那里的所有设备。 属于IBM，HP，Dow，诺基亚，GE，默克和Medco员工的设备直接与我联系。 他们都要求我担任他们的代理人，我将告诉您，我期望埃森哲能提供最好的服务。



可以从中得出这样的教训。 注意您的DNS流量，因为如果Windows现在的行为方式相同，这并不意味着它在一个月的第二个星期二之后的行为将完全相同（笑声）。

不要相信事情会按照预期进行，要观察流量并学会了解正常的DNS流量在网络上的样子，因此不要相信这些期望。 在对设置进行任何更改之前，您需要清楚地了解正常流量是什么样的，以便以后可以与它们进行比较。



标题：“您不是此域的所有者。 我是他。”

我已经展示了一些相当独特的方法，其中DNS中的“翻转”位可能很危险。 但是，位蹲并不是一个巨大的威胁，因此，由于Microsoft的“补丁”与原始配置的结合使用而导致DNS行为异常，从而使技巧更加有趣，这使其完全难以理解。

但是，公司在DNS方面最糟糕的事情之一是由于疏忽造成100％的自我伤害。

我看到一些公司在过去的几年中反复创建了所有条件，有时是偶然的，有时是有意的，以便攻击者可以接管其基础结构的每个部分。

问题在于，实际上，公司使用的不是他们的所有者的域。 这些域（放置在后缀搜索字符串中）“推”所有客户，以在他们需要技术支持时不可避免地访问外部Internet。

我决定研究有多少公司被迫这样做，这对我来说并不困难。 首先，我向Google寻求帮助，以找到用于存储Windows IP配置和DNS后缀搜索列表输出的搜索列表的注册表项名称。



技术支持论坛鼓励用户发布工作站配置信息，以帮助进行故障排除。



我研究了Google，并创建了唯一的域列表，然后开始注册它们。 在查看IP配置时，我遇到了rsquanta DNS后缀，并将其作为我的域注册列表的基础。



用下一张幻灯片中显示的失真名称注册域名后，我开始收到来自甚至不知道他们与哪家公司联系的移动设备的数千个请求。 但是我发现了。 原来，域名后缀rsquanta.com属于台湾大型计算机硬件公司Quanta Computer，该公司拥有6万名员工。



他们设计和制造了OLPC儿童百美元笔记本电脑，并与Facebook合作，根据设备设计和组装了新服务器。 我收到了自动检测代理，SMS服务器，邮件服务器，文件传输服务器的请求。 我可以通过多种方式来平静地在泰国使用这些设备，并引入各种利用方式来窃取凭据或拦截传输的文件。 在他们要求我帮助他们找到合适的资源之后，中间人的攻击将显得微不足道。

但是，当我确定收到到虚拟服务器的请求的来源时，确实感到震惊。 我发现常规流量来自客户端网络，这表明在Cisco，Apple，3m和Dell均存在Quanta Computer设备。



因此，他们应该派遣现场工作人员来协助实施Quanta设备。 这些只是该公司的一些客户，其中有Quanta Computer员工在该领域工作-我发现了他们，因为他们都要求我提供对公司资产的访问权限。



他们的硬件已牢固建立在知名公司的设备中，并且与机密知识产权有关。 因此，我可以从他们的流量中提取很多被动信息。 我拥有其网络上每个设备的名称列表，我看到公司的业务对公众隐藏了，这表明存在新合同。 如果交通突然停止，我可以假设他们失去了合同，并且可以跟踪他们下一步将去何处，这些员工前往何处以及他们在哪里。



例如，我发现公司办公室附近已开通了Wi-Fi干洗服务，因为数百种设备不时从那里向我发送请求。 我什至看到在这个城市里有很多人喜欢Black Hat和DefCon，稍后我们将讨论（笑声）。

因此，这种错误非常严重。 为了避免这种情况，请检查您的DNS配置。 使用Internet，使用Pastebin和Bleeping Computer等资源查找内部配置的详细信息。

注意您的DNS日志，并确保您的客户以及合作伙伴和制造商的客户完全按照您的期望完成请求。 如果您跟踪日志，则可以轻松地为每个设备，每个公司资产标识经常请求的域。

几年前，我开始购买过期的域，这些域以前用作C＆C服务器。 （笑声）。 这很有趣，所以一开始我想了解那里仍然有更多的感染，然后找出仍然感染了哪种设备以及它们在哪里。

从“黑名单”中搜索域名并不困难，因此我可以以99美分的价格选择成千上万个域名，并购买了其中几个。 以下幻灯片显示了我购买的第一个域-microsoft-windows-security.com。 它感染了Win32病毒：特洛伊木马程序EyeStye，这是一种用于窃取机密信息的键盘拦截器。 他拦截了输入，然后以未加密消息的形式将其发送到此域。 我没有对他做任何事情，每次他想与我联系时，我都向他发送404错误，但是他仍然尝试向我发送被盗的数据。



该机器人以用户名和密码的形式报告其唯一标识符，控制进程的名称，所拦截的函数，其中包含的数据以及有效负载。



这些机器人中有许多继续盲目地将有效载荷传递到其域。 我已经注册了数十个此类域，涵盖了数千个受感染的设备。 僵尸网络的这些代表只是被其先前的所有者抛弃了，他们不想努力关闭它们，而只是将它们留在网络上，直到域名过期为止。 所以我花了我最初的6美元在这些被病毒感染的域上（在大厅里鼓掌）。



我有23,000台设备将报告发送到服务器，所有这些域均来自已发布的黑名单。 为什么这么多公司允许他们的客户联系长期以来被认为是恶意的域？

我们所有人都可以通过控制一种最简单的机制来改善我们的工作，因此，只要深入研究我的域的日志，我就会发现其中一种看起来确实异常。



我的网络上有8.2万台设备的客户之一定期提出要求，当我开始对其进行分类时，我发现该域已经是六个月六个月了，而在Google上却没有任何提及。 它看起来太可疑了，所以我买了它，立即被顾客淹没。 它是一个普通的抓取器，以未加密的形式发送其有效负载，并控制了全球10,000个受感染的设备。 其中一些位于安全性最高的地区，我发现其中一台受感染的设备属于凤凰城的治疗设施。

我向该公司的某人求助，说如果他们向我发送受感染文件的样本，便可以识别该病毒。 他们将样本发送给我后，立即将其上传到Virustotal，发现42个防病毒扫描程序中没有一个可以识别此病毒。 该恶意软件已有2年历史了，令我感到奇怪的是，该恶意软件未被确认为任何防病毒软件的威胁。 但是，甚至更陌生的是为什么他被抛弃了？ 抗病毒剂是完全看不见的，确实是非常有价值的病毒感染。 这是一个具有讽刺意味的例子-曾经是赛门铁克的质量保证工程师，我希望他不在。



我在这里看到了它在在线票务系统中的工作方式，在这种情况下，由于产品的SIM卡的安全性问题，票证被关闭了。 我感到很遗憾的是，已经有2年历史的恶意软件的一部分仍被工程师消除了危险缺陷并确保公司产品安全的工程师仍包含在公司防病毒程序的排除列表中。
高级官员和政府官员拥有许多受感染的设备，例如法院书记，美国国会下议院，汇款办公室，报纸，甚至是兰利的联邦公务员联盟出纳！ 这些绝对是我用过的最好的99美分。

令人恐惧的是，可能有数百万台受感染的设备试图到达Command＆Control服务器，并且不再允许对其进行访问。 如果您使用几乎所有大型提供商的开放式或本地DNS，都不要给受感染的设备提供实现其尝试解决的所有问题的机会，无论该域是否存在都没有关系。 因为他们伪造了一个不存在的答案，并为您提供了目标网页的默认IP地址。 因此，承载此页面的服务器日志包含无数个被盗数据。 您认为房东正在采取任何措施来防止这种情况发生吗？

他们只是试图通过无意中窃取您的个人数据的广告来利用不当流量获利。 您希望，如果恶意程序试图允许您联系已断开连接的C＆C服务器，那么您将无处可寻，只会被允许去那里。



实际上，它的发生如以下幻灯片所示-开放的DNS非常友好，它们可以为您提供任何答案，无论此域是否存在都没有关系，它们很乐意为您提供恶意网站的IP地址，该IP地址会被窃取您的数据。





我注册了几个当前不在任何黑名单中的域。 通过分析DNS日志，我发现所有主要防病毒软件供应商都没有注意到的恶意软件样本。 为了检测此类病毒，我采取以下措施：

• 我将人们提供给我的DNS日志收集到一个公共数据库中；
• 定期监视在我的环境中首次出现的请求名称；
• 我发现只有一个客户要求的名称；
• 我查看注册日期，并确定新域的所有者和注册国家/地区；
• 我正在寻找允许使用IP地址127.0.0.1的域，这些域可能是由“书呆子”创建的。

在网上，很容易发现因异常而引人注目的事物。 您可以每天生成一个列表，该列表足够小，可以手动处理。 在下一张幻灯片上，我将提供指向一些资源的链接，如果您打算开始进行DNS探索，则应访问这些资源并使用它们。

Bro网站支持DNS查询的注册并存储查询日志。 DNS Anomaly Detection – , , , , - .

Passive DNS – Microsoft, «» , «» .pcap .



Response Policy Zones , , . DNS Sinkholes, , .

, «» DNS, , .



, ! : bobx@rot26.net.


感谢您与我们在一起。 你喜欢我们的文章吗？ 想看更多有趣的资料吗？ 通过下订单或将其推荐给您的朋友来支持我们，为我们为您开发的入门级​​服务器的独特模拟，为Habr用户提供30％的折扣： 关于VPS（KVM）E5-2650 v4（6核）的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器？ （RAID1和RAID10提供选件，最多24个内核和最大40GB DDR4）。

VPS（KVM）E5-2650 v4（6核）10GB DDR4 240GB SSD 1Gbps至12月免费，在六个月内付款时，您可以在此处订购。

戴尔R730xd便宜2倍？ 仅在荷兰和美国，我们有2台Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100电视（249美元起） ！ 阅读有关如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程？