网络安全可能是一项令人筋疲力尽的工作。如今网络上有信号和控制点,这些信号和控制点从网络角度来看都没有得到充分利用,不是说要添加新功能,利用您现有的功能。
攻击者利用盲点,专攻安全团队没有进行监控的确切位置,其中一个地方就是DNS。遗憾的是直到最近,该协议甚至还被降级为IT基础架构团队,并被视为纯粹的网络管道。
现在,需要再次提醒您需要将DNS理解为威胁载体。这是政企组织、通信公司等各个互联网相关的企业需要关注的话题。
DNS相关的安全问题是必然会发生的,因为大约百分之九十的恶意软件依赖DNS进行攻击。它用于远程命令和控制恶意软件,将数据泄露到外部等一系列活动。以下是您的DNS日志中可能会出现网络安全威胁的几种方式。
威胁1 - 机器执行他们通常不会执行的操作
示例:像Emotet一样的Spambot恶意软件
大多数专用设备,如工厂机器、销售点(POS)机器和打印机,都会产生相当可预期的DNS查询模式。即使它看起来很温和,但任何与这些设备之一不同的东西都可能意味着麻烦。例如,如果来自您商店的POS机的DNS查询正在查找Google.com,则表示您遇到了问题。
甚至更广泛的设备也会产生特定的行为模式。例如,用户笔记本电脑通常不生成MX查询类型,邮件服务器就是这样做的。如果用户笔记本电脑开始像邮件服务器一样,这可能是因为感染而发送垃圾邮件。
威胁2 - 使用DNS传输信息,而不仅仅是建立连接
示例:DNSMessenger木马、DNSpionage、Pisloader木马以及任何其他基于隧道的威胁
隧道的工作是通过将信息编码到查询域名中,然后由恶意接收方服务器对其进行解码。从DNS日志的角度来看,有一些关键的迹象表明这种行为正在发生。
因为编码信息通常会导致看起来像是一系列字符的混乱,所以查询域名往往缺少实际的字典中有的单词,看起来更像是随机生成的字符串。隧道查询通常也是TXT和其他查询类型,其通常不以在典型计算机使用期间雇员利用所必需的频率和周期性生成。隧道查询往往是以固定间隔或可疑突发生成的。能够将查询归因于其源以查看常规和突发模式非常重要。
威胁3 - 以算法方式动态更改查询的发送位置
示例:Nymain、Locky Ransomware、Qadars Banking Trojan、Qbot Trojan以及任何其他基于DGA的恶意软件
域生成算法(DGAs)是对手黑名单的解决方法。他们创建了一系列防火墙无法识别阻止的域,并尝试使用它们。
也就是说,DGAs要求对手实际注册某些域。为了节省成本,攻击者倾向于从声望较差的注册商中选择不常见的顶级域名(TLD),如.biz、.work、.hello等。像隧道查询一样,DGA查询也看起来像非字典单词,并尝试这些组合涵盖多个TLD。例如asdf.biz、asdf.work、asdf.hello等。
威胁4 - 隐藏的DNS查询
示例:DNS over HTTPS(DoH)通过HTTPS的DNS执行
DoH通过加密DNS查询和绕过正常的DNS服务器链,作为个人通过私密方式进行网上冲浪。在企业网络上,解决DoH是危险的,因为它削弱了安全团队的可见性。突然之间风险行为变得更难以发现。
威胁5 - 基础设施劫持
因为劫持涉及攻击者将自己插入DNS解析链并改变通过的信息,所以检查查询的DNS日志以及其各自的响应可能会有所帮助。如果对查询的响应发生更改,现在将客户端指向通常不应发送到的位置,则可能是劫持的迹象。DNS查询答案显然会随着时间的推移而变化,但对于完全不相关的网络上的IP地址则更少。
学会倾听您的DNS日志的变化
DNS已经存在于每个网络中。问题是,安全团队是否正在倾听它们告诉他们的内容?
当组织利用其日志进行保护时,就会打开一个洞察的世界。虽然有一些工具可以帮助以更智能的方式处理所有数据,但任何安全团队都可以采取基本步骤,即使在今天也是如此。
当专用设备尝试执行非典型操作时要注意,并特别注意随机生成的查询,特别是当它们以突发或常规时间间隔进行时。