giovedì 3 febbraio 2011

MUMBLE - DNS Exfiltration

Come funziona la DNS Exfiltration secondo il DOE
Il 25 gennaio scorso, il Dipartimento dell'Energia americano (DOE) ha pubblicato un interessante documento dal titolo "DNS as a Covert Channel Within Protected Networks" che analizza le tecniche di esfiltrazione di dati attraverso l'utilizzo del DNS.

La tecnica non è affatto nuova ma trovo molto interessante il documento prodotto dal DOE, per almeno tre ragioni:
1 è fantastico che un ente governativo produca un documento che tratta un argomento così tecnico e che lo metta a disposizione del pubblico
2 il documento non si limita a descrivere la problematica, ma contiene un'analisi dello scenario attuale evidenziando il fatto che questa tecnica comincia ad essere molto sfruttata negli attacchi reali
3 il documento fornisce una serie di suggerimenti pratici che vedremo nel seguito del post

Intanto, una breve descrizione della problematica che serve a inquadrare meglio il tutto...

Come si possono far uscire dati riservati utilizzando il DNS? Dato che la tecnica è nota sarò molto succinto, se volete approfondire basta "googlare" un po'.

E' molto semplice, si deve utilizzare un malware che, una volta ottenuto il contenuto da far esfiltrare, cifra il tutto e comincia a fare delle query DNS del tipo contenuto.da.esfiltrare.sitodelcattivo.cn. Queste query, come si può intuire dalla figura sopra, dopo una serie di passaggi intermedi arriveranno al DNS autoritativo (gestito appunto dal cattivo) per il dominio sitodelcattivo.cn, trasportando l'informazione "contenuto.da.esfiltrare". In questo modo l'informazione arriva nelle mani del cattivo, che può anche far tornare indietro degli ordini alla macchina infetta sotto forma di risposta del DNS. In questo caso, il malware avrà una tabella di conversione che associa delle azioni per ogni indirizzo IP ricevuto dal DNS autoritativo per il dominio sitodelcattivo.cn.

Allora come è possibile difendersi? Ecco i suggerimenti del DOE...

Dato che gli attuali attacchi conosciuti includono una o più delle seguenti caratteristiche, si devono cercare questi segnali all'interno del traffico DNS:
- query DNS composte da molti livelli (a.b.c... n.domain.com ..) dove a, b, c... n sono formati da stringhe esadecimali (ad esempio, e04fdbe587a1.f6c7.example.com) che, spesso, superano i 40 byte
- ripetute ricerche DNS per domini strani (ad esempio, 4c7a.obscure.com, 1a6d.some.site.cn) effettuate in un breve lasso di tempo o in momenti non usuali (al di fuori del normale orario lavorativo o nel fine settimana)
- risposte DNS che includono indirizzi di reti private (del tipo 10.0.0.0/8, 127.0.0.0/8, 172.16.0.0/12 o 192.168/16) in quanto potrebbero indicare una attività di invio di comandi alla macchina infetta
- query DNS che non sono seguite da una successiva connessione (HTTP, FTP o di eventuali altri protocolli)

Questo, in sintesi, quanto emerge dal documento del DOE, chi pensa di sapere già tutto su questi argomenti e non ha trovato spunti nuovi può cimentarsi con qualcosa più all'avanguardia e leggere, ad esempio, questo bellissimo lavoro presentato da Kenton Born allo scorso Blackhat USA.

La cosa che mi interessa di più, però, è mettere in evidenza, ancora una volta, come un paese che ha una grande attenzione al tema della sicurezza e alla difesa della propria leadership in campo tecnologico, investa ingenti risorse per mettere a disposizione del pubblico una serie di strumenti di conoscenza e di collaborazione. Il documento, infatti, si chiude con questa frase: "la National Electric Sector Cybersecurity Organization è qui per aiutarti: se la tua organizzazione ha bisogno di assistenza per interpretare i log del DNS o per mettersi in contatto con altre organizzazioni di risposta agli incidenti, potete contattarci. I nostri riferimenti sono elencati di seguito.".

Provate ad immaginare quanto siamo lontani da questo approccio, concentratevi sugli anni che dovranno passare prima che sul sito del Ministero per le Infrastrutture ci possa essere una frase come questa. 

Questo, più di tante speculazioni, ci fornisce la misura di quanto siamo lontani dalla meta.

4 commenti:

Anonimo ha detto...

Questo articolo mette il dito in una bella piaga ;)
Le tecniche di difesa per attacchi che utilizzano totalmente o parzialmente i dns hanno una scarsa efficacia, le si può aggirare senza nessuno sforzo da parte di chi attacca, mentre per chi cerca di difendersi hanno un costo implementativo e di esercizio non trascurabile. Pensate a quanto "costa" implementare un controllo che intercetti query DNS non seguite da una connessione di altro tipo!

Matteo Cavallini ha detto...

Ciao e grazie per lasciato un commento!

Effettivamente, la asimmetria tipica del mondo Cyber, in questo caso è davvero forte. Realizzare uno straccio di difesa rispetto a queste tecniche è molto oneroso e implica costi per risorse tecnologiche e umane.

In effetti questo aspetto è messo in evidenza anche nel documento del DOE.

Questo, inoltre, è anche uno dei motivi per i quali queste tecniche stanno diventando... di moda!

Sono convinto, però, che il discuterne faccia comunque salire l'attenzione e sia utile per la crescita globale della consapevolezza su questi temi.

Un saluto e... "stay tuned!"
Matteo

Glamis ha detto...

Sì, sicuramente il fatto che enti di questo livello se ne occupi indica una sensibilità notevole.

Del resto ricordo ancora le facce stupite di numerosi "colleghi" dell'IT (anche PA) al secondo OWASP day, quando Alberto Revelli fece vedere come installare e pilotare un server VNC con SQL injection e appunto DNS Exfiltration.

Anche io ci misi un po' a richiudere la bocca :-)

Matteo Cavallini ha detto...

Ciao Glamis,

c'ero anch'io e anche la mia bocca è rimasta aperta per un bel po'!!!

Oggi, invece la mia bocca è rimasta aperta nel vedere questo video che Stefano Zanero ha mandato su sikurezza.org. Anche questo non è nuovo, ma fa sempre effetto vederlo... in action!
http://vimeo.com/15140660

Ciao e... alla prossima,
Matteo

Posta un commento

http://www.wikio.it