惡意軟體橫行無忌DNS“功”不可沒

在網際網路全球化程式日益加快的今天，資料和網路基礎設施已經成為企業或組織的核心，員工、合作伙伴和客戶之間的聯絡、重要的業務程式都越來越依賴於網際網路的支撐，而提供IP地址和域名轉換的DNS系統，是實現網路應用必不可少的前提，對確保企業網際網路化運作可謂功不可沒。

DNS作為網路基礎設施的一個根本部分，關係到企業的生產力，但正是因為DNS應用的這種普及性和不可替代性，它又是一個主要的攻擊途徑。雖然很多企業正在全力以赴地應對網路安全威脅，以期能檢測和規避常見及專業的網路攻擊，但遺憾的是，大多數企業並沒有對DNS安全起到足夠的重視，使企業的資料、資產和信譽都處在風險之中。思科2016年度安全報告指出，近91.3%的“已知不良”惡意軟體被發現使用DNS作為主要手段，但68%的企業卻忽略了這個問題，並沒有對DNS解析器進行監測，思科非常形象地把這稱作“DNS盲點”——DNS是網際網路上最常見的協議，但它卻成為了最容易被忽視的。

為什麼是DNS？攻擊者會抓住任何網際網路服務或協議的漏洞來發動攻擊，這當然也包括DNS。思科2016年安全報告顯示，惡意軟體一般通過DNS實現命令與控制（Command and Control）通道、竊取資料和重定向流量等三個目的。

攻擊者曾使用很多通道與他們的殭屍網路或惡意主機通訊，比如TCP、IRC或HTTP等，但通過這些通道的惡意軟體流量都可以被防火牆等網路安全裝置或方案檢測到並阻止。但對於DNS而言情況卻並非如此。由於DNS服務的不可替代性，而企業又缺乏對DNS安全的重視，所以幾乎所有型別的網路都會允許DNS資料包文不受限制地訪問網路，而不對其流量進行過濾或檢查。惡意軟體正是利用了這一點，通過在DNS協議中構建隧道，進行命令控制和資料滲漏。比如通過DNS響應來接收指令，並利用DNS查詢請求，傳送竊取到的資料，如使用者或企業的敏感資訊。利用DNS隧道技術的攻擊近年來逐漸上升，規模也越來越大，比如2013年針對Target、2014年針對Sally Beauty和家得寶的攻擊，都是將竊取的資料偽裝在DNS查詢到資料包中外洩出去；而針對POS（Point of Sale銷售點）的惡意軟體族NewPosThings在今年四月也出現了新的變種Multigrain，客戶端感染Multigrain惡意軟體後，Multigrain會使用精心設計的DNS請求包告訴攻擊者已經成功在目標主機上進行了安裝，之後它會抓取目標機上的信用卡資料（如賬號密碼等），將資料進行加密後，每隔5分鐘使用DNS查詢將新的資料傳送給攻擊者。除了隧道技術，當客戶端與受感染或惡意的DNS伺服器進行互動的時候，正常的域名請求響應可能因為DNS快取投毒或DNS重定向而被劫持，引導至惡意網站或被惡意程式碼感染。

當然，除了惡意軟體，還有很多網路攻擊也離不開DNS，比如APT攻擊、垃圾郵件、殭屍網路和掛馬網站等，它們都在利用DNS伺機攻擊企業的網路。根據Forrester（一家獨立的技術和市場調查公司）最新發布的亞太地區漏洞管理趨勢調研報告顯示：在過去的一年中，80%的公司曾遭受至少一次的攻擊，最常見的是釣魚和基於DNS的攻擊。

儘管DNS是很多攻擊的源頭，但大多數企業並沒有對DNS基礎設施進行監控。對於他們來說，DNS可能僅是一種實用工具，是在後面執行的系統，只要DNS能正常執行，那些隱藏在DNS流量之下的危險就可以忽視不管了。不能任由DNS躺在那裡，門戶大開了。為此US-CERT（United States Computer Emergency Readiness Team美國計算機應急小組）提出應控制企業內網到外網的DNS流量來保證DNS請求和響應的安全性：即只能向企業內部被授權的DNS快取域名伺服器發起請求和接收響應，不允許直接使用外網DNS系統。具體措施包括自建企業DNS快取伺服器，對企業DNS流量進行監控和過濾，除了內網DNS快取域名伺服器和授權域名伺服器，對所有向53埠傳送和接收的UDP和TCP流量進行阻止和過濾。除了這些具體措施，國內DNS解決方案提供商泰策也一再強調DNS基礎設施建設的重要性，呼籲企業儘快建立自己的DNS系統：一方面對DNS流量進行必要的監控和管理，這是檢測潛在惡意網路活動的一個重要工具；另一方面對DNS資料包文進行分析和處理，阻斷對惡意連結的訪問，避免垃圾郵件、掛馬網站、殭屍網路和釣魚網站的侵害。此外，落實DNS基礎設施建設也不僅僅是一項未雨綢繆的舉措，DNS資料中有大量的資訊可向企業提供網路內部發生的情況，在企業遭受基於DNS的安全威脅時，DNS就有了更多的用武之地，大量的DNS資料記錄可幫助網路安全人員分提取有效資訊、進行必要的取證和防護處理。總之，DNS是所有線上服務的立足之本，DNS安全涉及企業安全根本，重視DNS，正是此刻。
本文轉自d1net（轉載）