網(wǎng)絡(luò)安全可能是一項(xiàng)令人筋疲力盡的工作。如今網(wǎng)絡(luò)上有信號(hào)和控制點(diǎn),這些信號(hào)和控制點(diǎn)從網(wǎng)絡(luò)角度來(lái)看都沒(méi)有得到充分利用,不是說(shuō)要添加新功能,利用您現(xiàn)有的功能。
攻擊者利用盲點(diǎn),專攻安全團(tuán)隊(duì)沒(méi)有進(jìn)行監(jiān)控的確切位置,其中一個(gè)地方就是DNS。遺憾的是直到最近,該協(xié)議甚至還被降級(jí)為IT基礎(chǔ)架構(gòu)團(tuán)隊(duì),并被視為純粹的網(wǎng)絡(luò)管道。
現(xiàn)在,需要再次提醒您需要將DNS理解為威脅載體。這是政企組織、通信公司等各個(gè)互聯(lián)網(wǎng)相關(guān)的企業(yè)需要關(guān)注的話題。
DNS相關(guān)的安全問(wèn)題是必然會(huì)發(fā)生的,因?yàn)榇蠹s百分之九十的惡意軟件依賴DNS進(jìn)行攻擊。它用于遠(yuǎn)程命令和控制惡意軟件,將數(shù)據(jù)泄露到外部等一系列活動(dòng)。以下是您的DNS日志中可能會(huì)出現(xiàn)網(wǎng)絡(luò)安全威脅的幾種方式。
威脅1 - 機(jī)器執(zhí)行他們通常不會(huì)執(zhí)行的操作
示例:像Emotet一樣的Spambot惡意軟件
大多數(shù)專用設(shè)備,如工廠機(jī)器、銷售點(diǎn)(POS)機(jī)器和打印機(jī),都會(huì)產(chǎn)生相當(dāng)可預(yù)期的DNS查詢模式。即使它看起來(lái)很溫和,但任何與這些設(shè)備之一不同的東西都可能意味著麻煩。例如,如果來(lái)自您商店的POS機(jī)的DNS查詢正在查找Google.com,則表示您遇到了問(wèn)題。
甚至更廣泛的設(shè)備也會(huì)產(chǎn)生特定的行為模式。例如,用戶筆記本電腦通常不生成MX查詢類型,郵件服務(wù)器就是這樣做的。如果用戶筆記本電腦開(kāi)始像郵件服務(wù)器一樣,這可能是因?yàn)楦腥径l(fā)送垃圾郵件。
威脅2 - 使用DNS傳輸信息,而不僅僅是建立連接
示例:DNSMessenger木馬、DNSpionage、Pisloader木馬以及任何其他基于隧道的威脅
隧道的工作是通過(guò)將信息編碼到查詢域名中,然后由惡意接收方服務(wù)器對(duì)其進(jìn)行解碼。從DNS日志的角度來(lái)看,有一些關(guān)鍵的跡象表明這種行為正在發(fā)生。
因?yàn)榫幋a信息通常會(huì)導(dǎo)致看起來(lái)像是一系列字符的混亂,所以查詢域名往往缺少實(shí)際的字典中有的單詞,看起來(lái)更像是隨機(jī)生成的字符串。隧道查詢通常也是TXT和其他查詢類型,其通常不以在典型計(jì)算機(jī)使用期間雇員利用所必需的頻率和周期性生成。隧道查詢往往是以固定間隔或可疑突發(fā)生成的。能夠?qū)⒉樵儦w因于其源以查看常規(guī)和突發(fā)模式非常重要。
威脅3 - 以算法方式動(dòng)態(tài)更改查詢的發(fā)送位置
示例:Nymain、Locky Ransomware、Qadars Banking Trojan、Qbot Trojan以及任何其他基于DGA的惡意軟件
域生成算法(DGAs)是對(duì)手黑名單的解決方法。他們創(chuàng)建了一系列防火墻無(wú)法識(shí)別阻止的域,并嘗試使用它們。
也就是說(shuō),DGAs要求對(duì)手實(shí)際注冊(cè)某些域。為了節(jié)省成本,攻擊者傾向于從聲望較差的注冊(cè)商中選擇不常見(jiàn)的頂級(jí)域名(TLD),如.biz、.work、.hello等。像隧道查詢一樣,DGA查詢也看起來(lái)像非字典單詞,并嘗試這些組合涵蓋多個(gè)TLD。例如asdf.biz、asdf.work、asdf.hello等。
威脅4 - 隱藏的DNS查詢
示例:DNS over HTTPS(DoH)通過(guò)HTTPS的DNS執(zhí)行
DoH通過(guò)加密DNS查詢和繞過(guò)正常的DNS服務(wù)器鏈,作為個(gè)人通過(guò)私密方式進(jìn)行網(wǎng)上沖浪。在企業(yè)網(wǎng)絡(luò)上,解決DoH是危險(xiǎn)的,因?yàn)樗魅趿税踩珗F(tuán)隊(duì)的可見(jiàn)性。突然之間風(fēng)險(xiǎn)行為變得更難以發(fā)現(xiàn)。
威脅5 - 基礎(chǔ)設(shè)施劫持
因?yàn)榻俪稚婕肮粽邔⒆约翰迦隓NS解析鏈并改變通過(guò)的信息,所以檢查查詢的DNS日志以及其各自的響應(yīng)可能會(huì)有所幫助。如果對(duì)查詢的響應(yīng)發(fā)生更改,現(xiàn)在將客戶端指向通常不應(yīng)發(fā)送到的位置,則可能是劫持的跡象。DNS查詢答案顯然會(huì)隨著時(shí)間的推移而變化,但對(duì)于完全不相關(guān)的網(wǎng)絡(luò)上的IP地址則更少。
學(xué)會(huì)傾聽(tīng)您的DNS日志的變化
DNS已經(jīng)存在于每個(gè)網(wǎng)絡(luò)中。問(wèn)題是,安全團(tuán)隊(duì)是否正在傾聽(tīng)它們告訴他們的內(nèi)容?
當(dāng)組織利用其日志進(jìn)行保護(hù)時(shí),就會(huì)打開(kāi)一個(gè)洞察的世界。雖然有一些工具可以幫助以更智能的方式處理所有數(shù)據(jù),但任何安全團(tuán)隊(duì)都可以采取基本步驟,即使在今天也是如此。
當(dāng)專用設(shè)備嘗試執(zhí)行非典型操作時(shí)要注意,并特別注意隨機(jī)生成的查詢,特別是當(dāng)它們以突發(fā)或常規(guī)時(shí)間間隔進(jìn)行時(shí)。