Как выполнять ДНС-туннелирование для эксфильтрации данных

[GHOSTRO]

Привет всем!
Кто-нибудь знает, как я могу успешно выполнить ДНС-туннелирование для эксфильтрации данных? Пожалуйста, оставьте любые ресурсы, которые, по вашему мнению, помогут мне.
Или любой другой метод эксфильтрации данных, не будучи обнаруженным.

 

[WitchDoctor]

Hi all!
Does anyone know how I can successfully perform DNS tunneling for data exfiltration? Please leave any resources you think might help me.
Or any other method of exfiltrating data without being detected.

Hi bro.

for use DNS tunneling first you check you vps that provider vps do not block it.
search it in github. many projects that you can use it.

but i think is better use Legal services.

 

[zdestuta]

Привет всем!
Кто-нибудь знает, как я могу успешно выполнить ДНС-туннелирование для эксфильтрации данных? Пожалуйста, оставьте любые ресурсы, которые, по вашему мнению, помогут мне.
Или любой другой метод эксфильтрации данных, не будучи обнаруженным.

у тебя просто должен быть где-то модифицированный твой DNS сервер (и твой домен) для этого, по сути ты данные web safe кодируешь (ну тупо в hex например) кусками и используешь эти куски как будто резолвишь поддомены твоего домена, просто обычный DNS будет выдавать ошибки а твой например ещё и складывать такие запросы куда-то, а на хосте с которого идёт такой резолвинг - это будет выглядеть как... ну как DNS резолвинг обычный, что если не приглядываться обычно не вызывает никаких подозрений.
ещё как вариант можешь ICMP (ping) кастомный делать и через ICMP пакеты выносить данные
а ещё как вариант это свой протокол (какой придумаешь сам) на основе raw IP пакетов, главное условие ведь это чтобы ответный сервер был (твой) который: не заблокан на источнике откуда тыришь инфу и ловит IP пакеты с источника и обрабатывает как тебе надо.

 

[lisa99]

а какие объемы можно передать таким образом?
и почему системы защиты не будут фильтровать какой-то паразитный, или шумный трафик на несуществующие поддомены (если я правильно понимаю dns туннелирование)?

 

[zdestuta]

а какие объемы можно передать таким образом?

любые , если не спалят ;-)
системы защиты будут фильтровать, если они есть и настроены на DNS в том числе, но по факту на DNS запросы многим пох их априори почему-то считают "неопасными"
раньше даже прикол был (хз как сейчас) с ISP когда они "отключали Интернет" например за неуплату, но DNS резоливиться продолжал (их мотив такой был чтоб юзер мог на их сайт с оплатой попасть) и этим активно пользовались, правда скорость в таком DNS туннеле фиговенькая (и этож UDP).

 

[Temoh]

Привет всем!
Кто-нибудь знает, как я могу успешно выполнить ДНС-туннелирование для эксфильтрации данных? Пожалуйста, оставьте любые ресурсы, которые, по вашему мнению, помогут мне.
Или любой другой метод эксфильтрации данных, не будучи обнаруженным.

Простая аналогия​

Представь, что ты в тюрьме и можешь отправлять только запросы на поиск в телефонной книге (это как DNS-запросы в интернете). Охрана разрешает это, потому что «это же просто справочник».
Ты хочешь передать своему сообщнику на воле секретное сообщение: например, «ПАРОЛЬ123».
Ты не можешь просто написать письмо — оно будет проверено. Но ты кодируешь это сообщение и вставляешь его в само имя, которое ищешь в телефонной книге:

«ПАРОЛЬ123.secret.example.com» — это выглядит как запрос к DNS.

Охрана (фаервол) думает: «О, это просто DNS — пропускаем!»
А твой сообщник — это контролируемый тобой DNS-сервер. Когда он получает запрос на ПАРОЛЬ123.secret.example.com, он понимает:

«Ага, часть до .secret — это не домен, а данные, которые мне прислали!»

И так ты можешь постепенно отправлять всё сообщение частями, используя много DNS-запросов:

• часть1.data.yourdomain.com
• часть2.data.yourdomain.com
• часть3.data.yourdomain.com

Сервер на твоей стороне собирает их обратно — и получает исходные данные.

---

А как сервер «отдаёт» данные тебе (внутрь сети)?​

Точно так же — но через DNS-ответы.
Когда твой компьютер делает DNS-запрос, сервер может в ответ в поле данных (например, в поле TXT или A-записи) закодировать команду:

«Загрузи файл» → сервер отвечает:
TXT = "aGVsbG8gd29ybGQ=" (это base64 от "hello world")

Твой вредоносный клиент на компьютере расшифровывает это и выполняет команду.

---

Итак, простыми словами:​

• Ты (внутри сети) → шлёшь DNS-запросы с закодированными данными в имени домена.
• Твой сервер (снаружи) → читает эти данные из имени и может отвечать, вкладывая команды в DNS-ответы.
• Всё это выглядит как «обычный DNS», но на самом деле — скрытый канал связи.

---

Почему это опасно?​

Потому что:

• DNS почти всегда разрешён.
• Многие компании не проверяют содержимое DNS-запросов.
• Через такой канал можно украсть файлы, пароли, скриншоты — медленно, но незаметно.

Привет всем!
Кто-нибудь знает, как я могу успешно выполнить ДНС-туннелирование для эксфильтрации данных? Пожалуйста, оставьте любые ресурсы, которые, по вашему мнению, помогут мне.
Или любой другой метод эксфильтрации данных, не будучи обнаруженным.

 

[Temoh]

Если нужен только туннель то можно попробовать stun запросы, тогда скорость будет выше, сообщения или файлы передавать чанками

 

[lisa99]

любые , если не спалят ;-)
системы защиты будут фильтровать, если они есть и настроены на DNS в том числе, но по факту на DNS запросы многим пох их априори почему-то считают "неопасными"

спасибо! но я этого не понимаю.
когда-то давно писала дипломную для бауманки - там была тема "Поиск инсайдеров в корп. сети". Стал вопрос о практике - что можно сделать ограниченного, но отразить суть работы?
Полноценную DLP от студента никто не ждал, но тем не менее пришлось писать фильтры- скрипты фильтровали трафик, включая жесткие шаблоны по маскам - например креды,
и в том числе урлы - куда полез сам сотрудник, или софт.
И главное - это изменения, отклонения от шума. И содержания, и направления

Там была убогая поделка, но в профессиональном софте ведь всегда должно быть обнаружение аномалий, эвристика.
Независимо - это днс или легальный урл. Особенно в наше время LLM, мощностей, и миллионных убытков от взломов.

Почему этого нет?
хз

 

[zdestuta]

спасибо! но я этого не понимаю.
когда-то давно писала дипломную для бауманки - там была тема "Поиск инсайдеров в корп. сети". Стал вопрос о практике - что можно сделать ограниченного, но отразить суть работы?
Полноценную DLP от студента никто не ждал, но тем не менее пришлось писать фильтры- скрипты фильтровали трафик, включая жесткие шаблоны по маскам - например креды,
и в том числе урлы - куда полез сам сотрудник, или софт.
И главное - это изменения, отклонения от шума. И содержания, и направления

Там была убогая поделка, но в профессиональном софте ведь всегда должно быть обнаружение аномалий, эвристика.
Независимо - это днс или легальный урл. Особенно в наше время LLM, мощностей, и миллионных убытков от взломов.

Почему этого нет?
хз

и вот DLP внедрена, а инсайдер взял и... PC-спикером ультразвук (примерно с 24 лет всё что выше вроде 12 кГц не слышимо, мы как-то отделом проверяли, так на экзаменах списывать збс кстати - профессор не услышит аудио-шпаргалку) замодулировал и форточку открыл "типа проветрить"... :-D
(смех смехом, а особо ушлые умудрялись эксфильтрацию делать меняя ШИМ'ом шум кулера на проце, да долго и нудно, но зато как беспалевно!)

 

[lisa99]

и вот DLP внедрена, а инсайдер взял и... PC-спикером ультразвук (примерно с 24 лет всё что выше вроде 12 кГц не слышимо, мы как-то отделом проверяли, так на экзаменах списывать збс кстати - профессор не услышит аудио-шпаргалку) замодулировал и форточку открыл "типа проветрить"... :-D
(смех смехом, а особо ушлые умудрялись эксфильтрацию делать меняя ШИМ'ом шум кулера на проце, да долго и нудно, но зато как беспалевно!)

дадада, можно и стрелки часов двигать, кодируя 0,1 как в Интерстеллар

вопрос в другом. EDR должна замечать повтряющиеся аномалии и их блокировать. по тексту выше - этого не происходит.
Вопрос - почему?

 

[zdestuta]

EDR должна замечать повтряющиеся аномалии и их блокировать.

EDR настроена может быть по разному, на всякие DNS, пинги, какие-то "непонятные мусорные пакеты" - обычно внимания просто не обращают считая их "неопасными", вот и всё.

расскажу про нечаянную физическую эксфильтрацию историю презабавную: жила была одна девочка-студенточка и проходила она практику на предприятии одном режимном да таком режимном, что на входе пограничники при оружии и в форме и досмотр прям капитальный был ни телефона ни флэшки не пронести даже говорят помаду в сумочках проверяли нет ли там "жучков", ну так вот пошла она в столовку и взяла пирожок жирный прежирный, а чтобы рученьки белые не пачкать завернула она пирожок в первые попавшиеся "какие-то бумажки" что нашла в каком-то кабинете мимо проходила, а они так удачно на столе валяются (ну вот такая вот дурёха безответственная) ну и жуя пирожок прошла она все-все контроли пограничные не вызвав и тени подозрения (ну правда ведь не может жирный пирожок быть в что-то важное завёрнут? ведь правда???) и радостно домой ушла, а бумажку с ДСП инфой как потом оказалось по камерам (славабогу не ГТ, не CC, и не ОВ, а то бы ей "звезда" настала бы, а историю засекретили) в урну на остановке выбросила. что было? а ничего не было (девочке), ну поругали за глупость, пограничников депремипровали, а всё предприятие на ушах стояло и пару дней охрану дрючили что "враг не дремлет" и пирожки на выходе теперь и бумажки в которые они завёрнуты надо тоже проверять, упс, сюрприз! (история невыдуманная, причём я охотно верю в такую безалаберность)
менее аппетитная история произошла там же - один нач.отдела взял с собой в сортир документы почитать (тоже ДСП, тоже славабогу ему повезло что всего лишь ДСП) так как времени мало и запар на работе, а тут ему позвонили и он убежал и доки забыл там, а следом другие люди в сортир заходили и они уже не читали документацию важную, а сразу применяли по назначению так как на таком предприятии с туалетной бумагой напряг никого не удивлял никогда и в ход шло всё "бумажкоподобное".