Το πρωτόκολλο DNS ως πολυλειτουργικός φορέας επίθεσης

Abstract

Few will argue that DNS security is a complex, multi-faceted, and of growing concern research topic. This is simply because virtually any protocol or service in the Internet depends its operation on the DNS service. Putting it another way, attacks on DNS can paralyze the network infrastructure of entire countries or even continents. Even worse, the original DNS design was concentrated on availability not security, and thus up to 1997 (and practically prior to 2008) the protocol did not afford any ilk of security protection, not even origin authentication of the offered DNS data. In this context, the primary aim of this PhD thesis is to alert the community by the investigation of novel ways of DNS exploitation, and thus our work can be mainly classified under the umbrella of offensive security. Specifically, we show that DNS can be exploited as a multipurpose attack vector that may severely threaten the integrity, authenticity, confidentiality, and availability of the offered resources in the cyberspace.

Nowadays, DNS security inefficiencies have been addressed in practice by DNSSEC, and at least up to now, only on a limited scale by DNSCurve. Both these mechanisms utilize public key cryptography with the aim of extending the core DNS protocol. Therefore, one of the contribution of this thesis is to provide a comprehensive and constructive side-by-side comparison among the aforementioned security mechanisms. This is anticipated to greatly aid the defenders to decide which mechanism best suits to each particular deployment.

Furthermore, there are overwhelming evidences that DNS is frequently abused by cyber crooks in Denial of Service (DoS) type of attacks. This is because that - even the typical - DNS records can greatly amplify the attack effect, meaning vastly augment the volume of network traffic reflected and destined toward victims. This amplification effect is foreseen to be far more devastating in the case of DNSSEC records, which normally are considerably bigger. In this mindset, an additional contribution of the thesis at hand is the investigation and assessment (in terms of attack amplification factor) of novel types of DNSSEC-powered DoS kind of attacks. The role of DNS forwarders as reflectors in such attack incidents is studied as well. Moreover, we examine some novel options about which publicly available resources (in terms of DNS servers) could be particular fruitful for the attacker to include them to their arsenal. In this direction, the potential of entangling the infrastructure of upper DNS hierarchy as both amplifiers and reflectors is thoroughly investigated. Regarding this point, the main advantage of our research compared with the standard type of DNS amplification attack is that we demonstrate that even a naive attacker is capable of executing a fruitful attack by simply exploiting the great amount of DNS machines existing out there.

This thesis also deals with the exploitation of DNS protocol by bot herders with the purpose of building hidden Communication and Control (C\&C) channels for their botnets. In this respect, we delve into the so called DNS- and IP-fluxing techniques, and propose and evaluate three novel botnet architectures which solely rely on DNS to deliver the botnet's C\&C infrastructure. Given the mushrooming of smart mobile devices, the proposed architectures utilize not only mixed structures consisting of both mobile and desktop bot agents, but more importantly, structures that are purely mobile. This aspect of our work also includes the evaluation of the robustness of the proposed botnet formations.

Finally, besides the contributions devoted to legacy DNS attacks, we investigate the potential of DNS as an attack vector to evade user's privacy by means of harvesting private sensitive information from, say, smartphone owners. To this end, we design and implement a privacy-invasive mobile application (spyware) able to manipulate the DNS service running on devices based on the Apple's iOS platform. The spyware is capable of acting as a man-in-the-middle to the tethering and intelligent personal assistant (such as Siri and Goggle now) services present in virtually every modern mobile platform. In this case, the aim of the spyware coder is that of redirecting all users connected via the device to a malicious website in order to phish user's credentials, harvest sensitive personal information, and so forth.

Αδιαμφισβήτητα, τα ζητήματα ασφαλείας για την υπηρεσία ονοματοδοσίας χώρου του Διαδικτύου (DNS) αποτελούν ένα πολύπλοκο, πολυδιάστατο και ιδιαίτερης βαρύτητας πεδίο έρευνας. Ουσιαστικά, κάθε πρωτόκολλο ή υπηρεσία που παρέχεται μέσω του Διαδικτύου βασίζει την απρόσκοπτη λειτουργία του στην υπηρεσία DNS. Συνεπώς, κάθε τύπος επίθεσης που στοχεύει το DNS ενδέχεται να επιφέρει σοβαρές επιπτώσεις στη δικτυακή υποδομή οργανισμών ή ακόμα και ολόκληρων κρατών. Δυστυχώς, οι αρχικές εκδόσεις του συγκεκριμένου πρωτοκόλλου εστίαζαν στη διαθεσιμότητα της υπηρεσίας παρά στην προστασία της από πιθανές απειλές. Έτσι, σχεδόν μέχρι το 1997, αλλά πρακτικά όχι νωρίτερα από το 2008, το πρωτόκολλο DNS δεν υποστήριζε κάποιο μηχανισμό προστασίας, ούτε καν αυτόν της διασφάλισης της αυθεντικότητας προέλευσης των παρεχόμενων δεδομένων. Σε αυτό το πλαίσιο, η παρούσα διδακτορική διατριβή έχει ως βασικό στόχο να ενημερώσει και να θέσει σε επιφυλακή την επιστημονική κοινότητα μέσω της διερεύνησης και επισήμανσης νέων μεθόδων κακόβουλης εκμετάλλευσης του DNS. Έτσι, μπορούμε να πούμε ότι η εν λόγω διατριβή επικεντρώνεται στην επιθετική ασφάλεια, δηλ., εστιάζει στον επιτιθέμενο πάρα στον αμυνόμενο. Με άλλα λόγια, η διατριβή φιλοδοξεί να καταδείξει ότι το πρωτόκολλο DNS δύναται να χρησιμοποιηθεί ως ένας πολύπλευρος φορέας επίθεσης (attack vector) με σκοπό την παραβίαση της ακεραιότητας, αυθεντικότητας, εμπιστευτικότητας και διαθεσιμότητας των προσφερόμενων πόρων στον κυβερνοχώρο. Σήμερα, οι ανεπάρκειες του DNS θεραπεύονται από δύο κρυπτογραφικούς μηχανισμούς· στην πράξη με την επέκταση ασφαλείας του DNSSEC και (μέχρι στιγμής σε μικρή κλίμακα) το DNSCurve. Αμφότεροι οι μηχανισμοί αυτοί χρησιμοποιούν κρυπτογραφία δημοσίου κλειδιού με σκοπό την προστασία των μηνυμάτων του βασικού πρωτοκόλλου DNS. Ως εκ τούτου, μία από τις συνεισφορές της παρούσας διατριβής είναι η διεξαγωγή μιας συγκριτικής και εποικοδομητικής παράθεσης των δύο προαναφερθέντων μηχανισμών ασφαλείας. Μια τέτοια αντιπαραβολή είναι βέβαιο ότι βοηθάει σημαντικά τους αμυνόμενους στο να επιλέξουν ποιος μηχανισμός είναι καταλληλότερος για κάθε περίπτωση. Επιπλέον, υπάρχουν σημαντικές αποδείξεις ότι το πρωτόκολλο DNS χρησιμοποιείται κακόβουλα από τους κυβερνο-εγκληματίες προκειμένου να διεξάγουν επιθέσεις άρνησης υπηρεσίας (DoS). Συγκεκριμένα, τα περιστατικά αυτά ανήκουν σε μια ειδική κατηγορία επιθέσεων που ονομάζονται επιθέσεις ενίσχυσης μέσω DNS (DNS amplification attack). Κάτι τέτοιο είναι εφικτό, διότι ακόμα και μια τυπική DNS απόκριση (response) ενδέχεται να ενισχύσει σημαντικά την δικτυακή κίνηση που καταφτάνει στην πλευρά του θύματος. Ουσιαστικά, το πρωτόκολλο ενισχύει (amplify) σε μεγάλο βαθμό τον όγκο της δικτυακής κίνησης που ανακλάται (reflect) και κατευθύνεται μέσω της υποδομής DNS εναντίον του στόχου. Το εν λόγω φαινόμενο της ενίσχυσης αναμένεται να είναι ακόμα ισχυρότερο και συνεπώς να επιφέρει καταστροφικότερες επιπτώσεις στην περίπτωση χρήσης εγγραφών (records) DNSSEC, οι οποίες είναι μεγαλύτερες σε μέγεθος από αυτές του βασικού πρωτοκόλλου. Σε αυτήν την κατεύθυνση, η παρούσα διατριβή διεξάγει μια λεπτομερή μελέτη νέων τύπων DoS επιθέσεων που βασίζονται αποκλειστικά σε δεδομένα DNSSEC. Η αποτίμηση της επίπτωσης των προτεινόμενων επιθέσεων επιτυγχάνεται με τον υπολογισμό του συντελεστή ενίσχυσης (amplification factor) της επίθεσης. Συμπληρωματικά, διερευνούμε τις διαφορετικές μεθόδους εκμετάλλευσης των προωθητών DNS (DNS forwarders) με σκοπό την αποτελεσματικότερη ανάκλαση της επιτιθέμενης δικτυακής κίνησης. Επιπλέον, η διατριβή απαντάει στο ερώτημα σχετικά με το ποιοι δημόσια διαθέσιμοι εξυπηρετητές DNS θα μπορούσαν να είναι προσοδοφόροι για τους σκοπούς του επιτιθέμενου έτσι ώστε να τους συμπεριλάβει στο οπλοστάσιο του. Για το σκοπό αυτό, εξετάζεται εκτενώς το αποτέλεσμα της εμπλοκής των εξυπηρετητών της ανώτερης ιεραρχίας της υποδομής DNS σε περιστατικά επιθέσεων ενίσχυσης. Συνεπώς, το κύριο πλεονέκτημα της ερευνητικής μας προσπάθειας σε σύγκριση με τις τυπικές επιθέσεις ενίσχυσης μέσω DNS έτσι όπως αναφέρονται στην σχετική βιβλιογραφία, είναι ότι καταδεικνύουμε ότι ακόμα και ένας ανεπαρκής επιτιθέμενος με ελάχιστα υπολογιστικά μέσα στην διάθεση του, είναι ικανός να διεξάγει μια επιτυχημένη επίθεση DoS εκμεταλλευόμενος τις υπάρχουσες (δημόσιες) υποδομές. Επιπροσθέτως, η έρευνά μας εστιάζει στην εκμετάλλευση του πρωτοκόλλου DNS από τους διαχειριστές (bot herders) δικτύων υπολογιστών-ρομπότ (botnets). Συγκεκριμένα, με σκοπό τη μετάδοση των εντολών του διαχειριστή στα μέλη του δικτύου (bots), είναι απαραίτητη η υλοποίηση συγκεκαλυμμένων καναλιών επικοινωνίας (Command & Control-C&C channels). Τέτοια κανάλια επικοινωνίας κατά κόρον αξιοποιούν τις τεχνικές DNS- και IP-Flux. Έτσι, στο πλαίσιο της παρούσας διατριβής, σχεδιάζουμε και αξιολογούμε τρείς νέες botnet αρχιτεκτονικές, οι οποίες βασίζονται στο πρωτόκολλο DNS για τη δημιουργία της υποδομής C&C. Δεδομένης της ευρείας διάδοσης των έξυπνων κινητών συσκευών, οι προτεινόμενες αρχιτεκτονικές αξιοποιούν τόσο μικτή δομή (αποτελούμενη από κινητά και σταθερά bots) όσο και πιο εξειδικευμένη, αποτελούμενη αποκλειστικά από κινητές συσκευές. Εκτός των άλλων, η συγκεκριμένη ερευνητική συνιστώσα της διατριβής περιλαμβάνει μια αναλυτική αποτίμηση της ευρωστίας των προαναφερθέντων αρχιτεκτονικών botnet. Εκτός των τυπικών μεθόδων εκμετάλλευσης του πρωτόκολλου DNS από τους επιτιθέμενους, η παρούσα διατριβή εστιάζει στη διερεύνηση της δυνατότητας αξιοποίησης του πρωτοκόλλου για την παραβίαση της ιδιωτικότητας των χρηστών. Πιο συγκεκριμένα, εξετάζουμε την περίπτωση υποκλοπής ευαίσθητων προσωπικών δεδομένων από τους χρήστες έξυπνων κινητών συσκευών. Για το σκοπό αυτό, σχεδιάζουμε και υλοποιούμε μια εφαρμογή κατασκοπίας (spyware) για κινητές συσκευές που έχει ως στόχο τη χειραγώγηση της υπηρεσίας DNS που παρέχεται από κινητές πλατφόρμες και συγκεκριμένα την iOS της εταιρίας Apple. Η εφαρμογή δρα ως ενδιάμεσος (man-in-the-middle) στην υπηρεσία διαμοιρασμού του ασύρματου δικτύου (tethering) ή/και σε αυτή του έξυπνου προσωπικού βοηθού (Siri). Αφού μολύνει τη συσκευή, η εφαρμογή ανακατευθύνει τον ανυποψίαστο χρήστη σε κακόβουλες ιστοσελίδες ώστε να συλλέξει συνθηματικά, στοιχεία λογαριασμών, προσωπικά δεδομένα, κ.ά.