Comments 5
Популярными сигнатурами ids (et, talos) канал ловится?
Те IDS/TDS (включая NextGen) что я тестил не ловили вообще никак. Но сделать сигнатуру под формат запроса и резолва довольно просто.
Однако, должен сказать, что был у одной из них и детект однажды. Одна IDS словила момент работы шеллкода, когда тот дампил тело metsrv.dll через DNSKEY туннель. Но ИДС словила не сам ДНС канал, а заголовок дллки metsrv в общем сетевом трафике (ей все равно где ловить, просто есть сигнатура самой дллки), а DNSKEY шлет пейлод большими кусками за один присест. Та же ИДС, но уже с шеллкодом IPv6 (AAAA) не поймала тот же бинарь, ибо AAAA более фрагментирован (по формату данных спрятанных в IP).
Однако, должен сказать, что был у одной из них и детект однажды. Одна IDS словила момент работы шеллкода, когда тот дампил тело metsrv.dll через DNSKEY туннель. Но ИДС словила не сам ДНС канал, а заголовок дллки metsrv в общем сетевом трафике (ей все равно где ловить, просто есть сигнатура самой дллки), а DNSKEY шлет пейлод большими кусками за один присест. Та же ИДС, но уже с шеллкодом IPv6 (AAAA) не поймала тот же бинарь, ибо AAAA более фрагментирован (по формату данных спрятанных в IP).
Можете привести пример запроса и резолва? За что зацепиться правилу детекта?
Я бы все же ловил DNS туннель не статической сигнатурой, а статистическим анализом логов (аномалии запросов/резолвов).
Но если говорить про эту конкретную реализацию и простую сигнатуру, то можно палить, например, так (для доменного имени):
и еще так
Но если говорить про эту конкретную реализацию и простую сигнатуру, то можно палить, например, так (для доменного имени):
^t\.(\w+\.)+(\d+)\.(\d+)\.(\w)\.
и еще так
^7812\.reg0\.\d+\.(\w+)\.
Нормально!!!
Sign up to leave a comment.
Эксфильтрация в Metasploit: DNS туннель для Meterpreter