Wyniki 1-1 spośród 1 dla zapytania: authorDesc:"Marek Łukasz Urbański"

STEGANOGRAFIA SIECIOWA Z WYKORZYSTANIEM PROTOKOŁU DNS NETWORK STEGANOGRAPHY IN THE DNS PROTOCOL DOI:10.15199/59.2016.8-9.51


  Niniejszy artykuł prezentuje możliwość wykorzystania protokołu DNS do utworzenia jednostronnego kanału komunikacyjnego pomiędzy komputerem zainfekowanym złośliwym oprogramowaniem, a skompromitowanym serwerem DNS. Kanał taki może posłużyć do niepostrzeżonej kradzieży danych użytkownika, bądź poufnych informacji firmowych. Abstract: This paper presents possibility of using of the DNS protocol for creating a simplex communication channel between a malware infected computer with malware and a compromised DNS server. The proposed channel can be used to steal data or confidential enterprise information secretly. Słowa kluczowe: DNS, steganografia sieciowa, złośliwe oprogramowanie Keywords: DNS, network steganography, malware 1. WSTĘP Ze względu na powszechne użycie protokołu DNS (ang. Domain Name System) w sieci Internet jest on bardzo dobrym kandydatem na nośnik w steganografii sieciowej [5]. Przesłanki za jego wyborem to między innymi duży wolumen standardowych pakietów i znaczące problemy w funkcjonowaniu sieci, gdy administrator zastosuje zbyt rygorystyczne reguły filtrowania ruchu względem tego protokołu. W związku z powyższym były podejmowane różne próby wykorzystania DNS niezgodnie z jego pierwotnym przeznaczeniem. W 2011 roku firma Symantec ogłosiła odkrycie robaka W32.Morto, wykorzystującego podatność w RDP (ang. Remote Desktop Protocol). Do komunikacji z kanałem C&C (ang. Command and Control) wykorzystuje rekordy TXT w DNS, które przeznaczone są do przechowywania treści zrozumiałej dla człowieka. W32.Morto odpytuje serwer DNS o rekord TXT, zamiast typowego żądania "domena-IP". Następnie zwrócony tekst jest odszyfrowywany i przetwarzany. W ten sposób zazwyczaj przekazywane są: podpis cyfrowy pliku i adres IP, skąd pobierane jest jeszcze bardziej złośliwe oprogramowanie [3]. Kolejny pomysł wykorzystania to tunelowanie pomiędzy maszyną klienta a podstawionym serwerem, który to jest desygnowany do udzielenia odpowie[...]

 Strona 1