惡意軟件編寫者開始使用DNS請(qǐng)求進(jìn)行數(shù)據(jù)滲透,那么,這些攻擊的工作原理是什么,以及抵御它們的最佳做法有哪些?
Nick Lewis:多年來,高級(jí)攻擊者一直在利用DNS隧道、ICMP隧道等進(jìn)行數(shù)據(jù)滲透。基于他們?nèi)〉玫某晒Γ芏嗥渌粽咭查_始采用這種技術(shù),讓這種技術(shù)逐漸普遍。DNS通常也被允許出站連接到互聯(lián)網(wǎng),而不需要進(jìn)行過濾,這讓攻擊者可以利用它來從受感染網(wǎng)絡(luò)滲出數(shù)據(jù)。
DNS隧道通常用于已經(jīng)受感染的計(jì)算機(jī),它會(huì)編碼惡意DNS域名中少量數(shù)據(jù)。受感染的計(jì)算機(jī)可以在惡意域名和/或使用攻擊者控制的DNS服務(wù)器來執(zhí)行DNS查詢。當(dāng)受感染計(jì)算機(jī)的DNS請(qǐng)求到達(dá)預(yù)期接收者的DNS服務(wù)器或設(shè)備,攻擊者可以記錄數(shù)據(jù)供以后使用和/或在DNS響應(yīng)中發(fā)送少量數(shù)據(jù)回受感染計(jì)算機(jī),DNS響應(yīng)可能是由受感染計(jì)算機(jī)執(zhí)行的命令。這種交換可以從網(wǎng)絡(luò)滲出少量數(shù)據(jù),并在網(wǎng)絡(luò)上兩臺(tái)計(jì)算機(jī)之間建立間接通信。
抵御利用DNS隧道的攻擊首先需要檢測(cè)異常DNS流量,這可以通過監(jiān)控DNS日志或直接使用工具監(jiān)控網(wǎng)絡(luò)來執(zhí)行。初始DNS服務(wù)器還可以配置為記錄DNS查詢請(qǐng)求,并且,企業(yè)可以監(jiān)控這些日志信息查詢來自一個(gè)端點(diǎn)的大量DNS請(qǐng)求,或者需要被轉(zhuǎn)發(fā)的大量DNS請(qǐng)求。這種相同的分析也可以通過監(jiān)控網(wǎng)絡(luò)流量來執(zhí)行。
企業(yè)可以在內(nèi)部部署DNS安全工具或者將這個(gè)工作外包給DNS提供商以對(duì)企業(yè)DNS流量執(zhí)行分析,并可能阻止或攔截發(fā)送到惡意DNS服務(wù)器的DNS查詢,這些供應(yīng)商包括Neustar、OpenDNS和Percipient Networks等。
京公網(wǎng)安備 11010502049343號(hào)