دراسات حالة لاستخدام أدوات تحليل الشذوذ في الشبكة: اكتشاف حملة DNSpionage

نواصل مراجعة حالات أنظمة تحليل حركة مرور الشبكة (NTA) لأهداف الأمن السيبراني. سنرى اليوم كيف يمكن استخدام هذه الحلول للكشف عن الحملات المعقدة للغاية والموجهة والفعالة للغاية التي تسمى DNSpionage و Sea Turtle.

ولكن قبل ذلك ، سأذكر بإيجاز كيف يعمل نظام أسماء النطاقات (DNS) ، الذي يقوم عليه التفاعل على الإنترنت. دماغ الإنسان مرتب لدرجة أنه غير قادر على حفظ العديد من الأرقام والأرقام التي لا يربطها الشخص بأي شيء مألوف. وعدد مجموعات الأرقام والأرقام التي لا تنسى صغيرة في أي حال. لذلك ، من أجل عدم حفظ وتخزين المئات والآلاف من عناوين IP للمواقع التي نهتم بها ، تم اختراع نظام DNS ، والذي يترجم العناوين الرمزية للمواقع التي يمكن فهمها بشكل أكبر للبشر إلى عناوين IP الخاصة بهم. إذا كنت بحاجة إلى الوصول إلى أي موقع ، فأرسل استعلام DNS باسم الموقع إلى خادم DNS ، والذي يعيد لي عنوان IP الخاص به ، والذي أذهب إليه.



إذا كنت تتعمق أكثر في التفاصيل ، فإن المخطط يبدو أكثر تعقيدًا. إذا كان خادم DNS الأقرب إلي لا يعرف عنوان IP الخاص بالموقع الذي يثير اهتمامي ، فإنه يوجهني إلى خادم الجذر ، والذي يوجهني بعد ذلك إلى خادم DNS للمنطقة التي يوجد فيها الموقع الذي يهمني (على سبيل المثال ، ".ru") ، والمزيد على طول السلسلة حتى أصل إلى خادم DNS الذي يعرف عنوان IP الذي أحتاجه.



اتضح أننا نثق في خوادم DNS التي ترسل إلينا عناوين IP للمواقع التي نريد زيارتها. وإذا قام شخص ما باختراق خادم DNS وانتحال سجل لمطابقة اسم رمزي وعنوان IP؟ ماذا لو تم توجيهنا إلى موقع مزيف يبدو وكأنه موقع حقيقي ويمكنه سرقة معلومات تسجيل الدخول وكلمات المرور الخاصة بنا ، بالإضافة إلى معلومات سرية أخرى عنا؟ يسمى هذا الانتحال إعادة توجيه DNS ويستخدمه مجرمو الإنترنت في الهجمات الخطيرة بشكل خاص.



في عام 2009 ، حل "الجيش السيبراني الإيراني" محل twitter.com. في عام 2011 ، تم استبدال 186 نطاقًا بقراصنة أتراك ، بما في ذلك HSBC و Vodafone و Acer وغيرها. وفي 2013-2014 ، استبدل الجيش الإلكتروني السوري مواقع NYT و Twitter و Huffingtin Post (فشلت المحاولة ضد Facebook). في نفس العام ، تم تنفيذ إجراءات مماثلة ضد WhatsApp و AVG و Avira. وبعد مرور عام ، تم استبدال مواقع Google الفيتنامية والماليزية ، بالإضافة إلى نطاق بنك الاحتياطي الفيدرالي في سانت لويس. في عام 2016 ، تمت سرقة كمية معينة من العملة المشفرة من blockchain.info بهذه الطريقة.

في الواقع ، هناك المزيد من ناقلات هجوم DNS ، ولكننا اليوم سنلقي نظرة فقط على تلك المتعلقة بحملات DNSpionage و Sea Turtle .



الآن بعد أن ألقينا نظرة سريعة على كيفية عمل نظام أسماء النطاقات وكيف يمكنك استخدامه على حساب الضرر ، يمكننا التحول مباشرة إلى حملات DNSpionage و Sea Turtle ، بدءًا بالحملة الأولى. في عام 2018 ، واجهه قسم سيسكو تالوس في العديد من بلدان الشرق الأوسط. كان يتألف من جزأين - إصابة المستخدمين وإعادة توجيه DNS ، والتي لم تكن مرتبطة دائمًا ، ولكن بالنسبة لعدد من العلامات ، استنتجنا أن المجموعة نفسها على الأرجح وراء كلا الجزأين.



في الحالة الأولى ، تلقى المستخدمون الضحايا عروض عمل من خلال LinkedIn ومواقع البحث عن عمل أخرى. أدت جميع الشواغر إلى مواقع وهمية تم نشر الشواغر المغرية. تم تسجيل موقعين - hr-wipro [.] Com و hr-suncor [.] Com ، اللذين أعادا توجيه المستخدمين إلى wipro.com و suncor.com القانونيين. وضعت الروابط ملفات بتنسيق MS Word مع وحدات ماكرو مضمنة ، والتي عملت كل منها عند فتح الوثيقة وإغلاقها ، على التوالي.



قام الماكرو الأول بفك تشفير ملف PE وحفظه على العنوان "٪ UserProfile٪ \. OracleServices \ svshost_serv.doc". أعاد الماكرو الثاني تسمية "svshost_serv.doc" ليصبح "svshost_serv.exe". ثم قام الماكرو بإنشاء مهمة "محدث الكروم v 37.5.0" ، والتي قامت بتشغيل الملف القابل للتنفيذ وتكراره كل دقيقة. قام هذا البرنامج الضار بوظائف RAT (أداة الإدارة عن بعد) ، والتي كانت تسمى DNSpionage. لقد تفاعلت مع مجال تم إنشاؤه خصيصًا ، طالبين / تلقي أوامر تم تنفيذها. من بين هذه الأوامر طلب محتويات الدليل ومسح الشبكة ونسخ الملفات واستخدام المرافق عن بعد (WinSSHD و Putty و mimikatz) ، إلخ. تم إرسال الأوامر من خادم الأوامر ، وكذلك نتائج العمل ، بأحد وضعين - HTTP أو DNS. عادة ما يكون الخيار الثاني أبسط ، لأن هناك احتمال كبيرأنه ليس لديك فحص كامل لحركة مرور DNS وأنك ببساطة لا تلاحظ رمز DNSpionage الضار الذي يتصل بخادم الأوامر.

يبدأ الأمر الأكثر إثارة للاهتمام في الوقت الذي تتواصل فيه أجزاء العميل والخادم من البرامج الضارة. يرسل العميل استعلام DNS المبهم التالي إلى 0ffice36o [.] Com (الحرف الأول هو صفر والحرف الأخير هو "o"): RoyNGBDVIAA0 [.] 0ffice36o [.] Com ، حيث يتم إنشاء أول 4 بايت عشوائيًا والباقي (GBDVIAA0 ) عبارة عن طلب مرمّز base32 (لكل ضحية ، تم اختيار أبجديتها base64 / dase32). يعطينا فك تشفيرها "0GT \ x00" حيث GT هو معرّف الضحية و \ x00 هو رقم الطلب. يجيبنا خادم الأوامر في شكل عنوان IP ، وهو ليس دائمًا صحيحًا ، على سبيل المثال ، 0.1.0.3 (يسمح بروتوكول DNS بذلك). يبدو استعلام DNS الثاني كما يلي: t0qIGBDVIAI0 [.] 0ffice36o [.] Com. يعرض لنا خادم الأوامر عنوان IP: 100.105.114.0 ، وهو عبارة عن 4 أحرف في ترميز ASCII العادي ،وهذا يعني في هذه الحالة الأمر القابل للتنفيذ "dir \ x00". ردًا على ذلك ، يرسل جانب العميل من DNSpionage:

gLtAGJDVIAJAKZXWY000 0ffice36o كوم [.] [.] -> GJDVIAJAKZXWY000 -> "2GT \ X01 المجلد»
TwGHGJDVIATVNVSSA000 0ffice36o كوم [.] [.] -> GJDVIATVNVSSA000 -> «2GT \ X02 أوميا»
1QMUGJDVIA3JNYQGI000 0ffice36o كوم [.] [.] - > GJDVIA3JNYQGI000 -> "2GT \ x03 in d"
iucCGJDVIBDSNF3GK000 [.] 0ffice36o [.] Com -> GJDVIBDSNF3GK000 -> "2GT \ x04 rive"
viLxGJDVIBJAIMQGQ [2] JQJJQQ [J] JQJJJQQ [2] ح "

كجزء من الجزء الثاني من حملة DNSpionage ، تمت سرقة مسؤول مسؤول خادم DNS ، وتم تغيير سجلات DNS المقابلة ، وتم إنشاء الشهادات باستخدام LetsEncrypt ، والتي سيتم استخدامها لاحقًا في هجوم "الموقع في المنتصف". في مثل هذا الموقع ، سيرسل هجوم إعادة توجيه DNS الموصوف سابقًا ضحايا مختارين (في غضون عامين فقط من هذه الحملة ، تمكنا من تحديد 25 عملية إعادة توجيه ، مما يشير إلى أنه ليس هجومًا كبيرًا ، ولكنه هجوم مستهدف). يرجى ملاحظة أنه يمكن مهاجمة كل من خادم DNS الخاص بك (إذا كان لديك واحد) وخوادم DNS الخارجية التي لا تتحكم فيها بالفعل.

كجزء من أنشطتهم ، تمكن المهاجمون من اعتراض جميع حركة المرور التي ذهبت إلى المجالات المشار إليها للهيئات الحكومية في لبنان والإمارات العربية المتحدة (وزارة المالية ، والشرطة ، ووزارة الاتصالات والاتصالات ، وشركات الطيران ، وما إلى ذلك) ، بما في ذلك البريد الإلكتروني والشبكة الافتراضية الخاصة ، والتي يمكن تسمح لهم بجمع معلومات إضافية عن ضحاياهم.

كانت حملة Cisco Talos Sea Turtle أكثر تعقيدًا من DNSpionage ، حيث هاجم المهاجمون ليس فقط خوادم DNS ، ولكن أيضًا خوادم TLD (بما في ذلك ccTLDs و gTLDs) ،



مما سمح للقراصنة غير المعروفين بمهاجمة المنظمات الحكومية والعسكرية في الشرق الأوسط وشمال أفريقيا ، وكذلك الخدمات الخاصة وشركات النفط والغاز.



عد الآن إلى المهمة الأصلية وشاهد كيف يمكن لأنظمة تحليل حركة مرور الشبكة المساعدة في تحديد الحملات المذكورة. وتجدر الإشارة على الفور إلى أنه نظرًا لتعقيدها وحقيقة أنه يمكن توجيهها ضد خوادم DNS الخارجية ، فلن تساعدنا أنظمة فئة NTA دائمًا. ولكن في تلك الحالات ، عندما يتعلق الأمر بوضع DNS الخاص بتشغيل DNSpionage أو هجوم على خوادم DNS المحلية في إطار DNSpionage أو Sea Turtle ، يمكننا استخدام Netflow لرؤية جميع علامات الهجوم التي نحتاجها وحظرها في الوقت المناسب.

بادئ ذي بدء ، نحن بحاجة إلى تحديد خوادم DNS الداخلية وإضافتها إلى مجموعة واحدة. هذا هو المكان الذي يبدأ فيه إدخال أي نظام مراقبة غير طبيعي تقريبًا. لفهم ما إذا واجهنا حالات شاذة في حركة مرور الشبكة أم لا ، نحتاج أولاً إلى تحديد ما هو طبيعي وشرعي. وبعد ذلك فقط يبدأ النظام في العمل بكامل قوته.



يمكن القيام بذلك يدويًا ، ولكن من الأفضل استخدام وظيفة تصنيف العقد حسب نوع حركة المرور ، مما يسمح لك بتحديد جميع العقد ، حتى تلك التي لا نعرف عنها ، ولكنها تعمل كخوادم DNS.



في حالتنا ، وجدنا 5 خوادم:



بعد أن قررنا على خوادم DNS القانونية ، يمكننا فقط مراقبة جميع حركة مرور DNS ، وهو أمر غير طبيعي ، أي يتجاوز المسموح به. على سبيل المثال ، هذه هي الطريقة التي يمكننا من خلالها وصف قاعدة لتحديد خوادم DNS الداخلية التي تعمل بشكل غير قانوني:



وستبدو هذه القاعدة على هذا النحو ، والتي توضح أنه لسبب ما لدينا خادمان DNS في شبكتنا ، أحدهما موجود في قسم الخادم السري ، والثاني في شريحة أجهزة المستخدم.



تسمح لنا القاعدة التالية بتحديد خوادم DNS المشبوهة الخارجية التي تتفاعل مباشرة مع المضيفين الداخليين ، والتي قد تشير إلى أن خادم أوامر DNSpionage يعمل مع أجهزة الشركة المصابة:



ونجد أمثلة على هذا التفاعل:



بطريقة مماثلة ، يمكننا تكوين نظام الكشف عن الشذوذ في الشبكة (وتستخدم هذه المقالة Cisco Stealthwatch كمثال) للكشف عن المحاولات غير المصرح بها للوصول إلى العقد الداخلية إلى خادم DNS المحلي (قد يشير هذا إلى عمل DNSpionage أو Sea Turtle) ، بالإضافة إلى التفاعل النشط المضيفات الداخلية مع المضيفين الخارجيين باستخدام بروتوكول DNS (سيؤدي ذلك إلى تسجيل عملية DNSpionage في وضع DNS).

بعد إصلاح الحالات الشاذة وانتهاكات سياسة الأمان ، يجب علينا تطوير قواعد تسمح لنا بالإشارة إلى أي محاولات مستقبلية لربط العقد الداخلية ، باستثناء خوادم DNS المحلية ، بخوادم DNS الخارجية (والعكس صحيح).



تسمح لنا القاعدة الثانية بتسجيل أي محاولات للتفاعل باستخدام حركة مرور DNS داخل شبكة الشركة ، باستثناء خوادم DNS المحلية.



هذه هي الطريقة التي تتيح لنا مراقبة Netflow (بالإضافة إلى بروتوكولات التدفق الأخرى) تحديد المراحل الفردية للهجمات المعقدة إلى حد ما التي يمكن أن تضر بالشركات الحديثة والوكالات الحكومية.

Source: https://habr.com/ru/post/undefined/