DNS quroli: Nega domain TXT yozuvlari xavfsizlikdagi ko'r nuqta?

DNS haqida o'ylasangiz, odatda oddiy infratuzilma esingizga tushadi. U domenni IP manzilga aylantiradi, lekin hech kim bunga e'tibor bermaydi. Mana shu xato.

Yaqinda ko'rsatilgan tajriba shuni isbotladi: DNS TXT yozuvlari orqali butun dasturlarni yetkazib berish mumkin. Bu oddiy ma'lumot o'g'irlash emas. To'liq dastur, hatto ish vaqti kutubxonalari bilan DNS so'rovlarida yuboriladi. An'anaviy fayl himoyasi chetga chiqadi.

TXT yozuvlarining muammosi

TXT yozuvlari SPF, DKIM, DMARC uchun yaratilgan. Ular oddiy matn maydonlari, hech qanday tekshiruv yo'q. Protokol nima yozsangiz ham qabul qiladi.

Nega xavfli:

Hamma joyda bor: Har domainda TXT bor. Har registrar qo'llab-quvvatlaydi.

Katta hajm: Bitta zona minglab TXT saqlaydi. Har biri 2000 belgigacha.

Keshlash: DNS butun dunyoda keshlanadi. ISP, kompaniya, CDN hammasi saqlaydi.

Iz topilmaydi: Kim DNS TXT tarixini tekshiradi? Hech kim.

Ochiq: Internet bor odam so'raydi. Parol yo'q, log yo'q.

Bu hujumchilarga bepul, global fayl yetkazish tizimini beradi. Oddiy DNS trafiki kabi ko'rinadi.

Shellcodedan to'liq dasturgacha

Avval hujumchilar TXTga shellcode yashirgan. Base64 kodlangan, ish vaqtida yuklanadi. Topish qiyin.

Lekin to'xtamasdan: TXTga fayl solsa bo'lsa, ko'p fayl solsa bo'ladi. Butun dastur arxivini ham.

Tajriba shu: DNS TXTdan DOOM o'yin dvigatelini yuklash. 1966 ta yozuv, hammasi xotirada yig'iladi, disk tegilmaydi. To'liq ishlaydi.

Tasavvur qiling: Sizning domainingiz orqali Office, kriptomayner yoki reverse shell kelishi mumkin. Hech iz qolmaydi.

Qanday ishlaydi

Oddiy mexanizm:

Kodlash: Dasturni siqib, Base64 qiling.

Bo'laklash: 2000 belgiga bo'ling. Har bo'lak bitta TXT.

Indeks: Nechta bo'lak borligini yozing.

Yetkazish: Zarar dasturi DNS so'raydi, bo'laklarni oladi, xotirada yig'adi.

Ishga tushirish: Faylsiz, xotiradan yuklaydi. .NETda reflection orqali.

Hujumchi uchun go'zal: Oddiy DNS so'rovlaridek. SOC minglab so'rov ko'radi, qo'shimcha 100-200 tasi sezilmaydi.

Nega himoyalaringiz ishlamaydi

Odatiy nazorat:

• Fayl tekshiruvi: YARA, hash – diskka yozilmasa, bo'sh.

• Tarmoq imzolari: DNS oddiy, DoH/DoT shifrlangan. Bo'laklar matn kabi.

• Domain obro'si: O'z domainingizdan foydalanish mumkin.

• DNS loglari: 24-48 soatdan keyin o'chadi.

NameOcean foydalanuvchilariga maslahat

Biz domain xavfsizligini jiddiy qabul qilamiz. Quyidagilarni qiling:

1. TXTni tekshiring: Barcha zonadagi TXTlarni ko'rib chiqing. Yangi qo'shilganlarga ogohlantiring.

2. DNS monitoring: So'rovlarni tahlil qiling. Bir xil subdomain, ko'p so'rov, Base64 shubhali.

3. DNS filtrlash: Gatewayda DNS xavfsizligini qo'ying. Anomaliyalarni tutadi.

4. Registrar akkauntini himoyalang: MFA, cheklovlar, o'zgarish loglari.

5. DNSSEC qo'ying: Spoofingdan saqlaydi.

6. CDN keshini kuzating: CloudFlare kabi, o'zgarishlarga alert.

Katta rasm: DNS infratuzilma, himoya emas

DNS ishonchlilik uchun yaratilgan, xavfsizlik uchun emas. Soddaligi kuch, lekin zaiflik.

Bu haqiqiy tahdid. Davlat hujumchilari ishlatgan. DOOM misoli ogohlantirish.

Oldinga: Nima qilish kerak

DNSni hujum yuzasiga aylantiring. Infratuzilma emas, yetkazish vositasi.

Zero-trust DNS. Ichki DNSni ham kuzating.

DNS vositalariga sarmoya. Firewall, anomaliya, razvedka.

Jamoani o'rgating. SOC DNS qurolini bilsin.

NameOcean foydalanuvchilari uchun: Kuchli nazorat, loglar, DNS o'zgarishlarini kuzatish.

TXTlar oddiy ko'rinadi, lekin hujum eshigi. Kuzatib turing.

Infratuzilmangizda shubhali DNS ko'rdingizmi? Tashkilingiz DNS xavfsizligini qanday kuzatadi? Izohlarda yozing.