網路安全可能是一項令人筋疲力盡的工作。現在網路上有訊號和操控點,這些訊號和操控點從網路角度來看都沒有得到充分運用,不是說要增加新功用,運用您現有的功用。
進犯者運用盲點,專攻安全團隊沒有進行監控的確切方位,其間一個地方便是
DNS
。遺憾的是直到最近,該協議乃至還被降級為
IT
基礎架構團隊,並被視為純粹的網路管道。
現在,需求再次提醒您需求將
DNS
理解為要挾載體。這是政企組織、通訊公司等各個網際網路相關的企業需求重視的論題。
DNS
相關的安全問題是必然會發作的,由於大約百分之九十的歹意軟體依靠
DNS
進行進犯。它用於長途指令和操控歹意軟體,將資料洩露到外部等一系列活動。以下是您的
DNS
日誌中可能會呈現網路安
全要挾的幾種方法。
要挾
1
-
機器履行他們一般不會履行的操作
示例:像
Emotet
相同的
Spambot
歹意軟體
大多數專用裝置,如工廠機器、銷售點
(POS)
機器和印表機,都會發作相當可預期的
DNS
查詢模式。即使它看起來很溫文,但任何與這些裝置之一不同的東西都可能意味著麻煩。例如,假如來自您商鋪
的
POS
機的
DNS
查詢正在查詢
Google.com
,則表示您遇到了問題。
乃至更廣泛的裝置也會發作特定的行為模式。例如,使用者膝上型電腦一般不生成
MX
查詢型別,郵件伺服器便是這樣做的。假如使用者膝上型電腦開始像郵件伺服器相同,這可能是由於感染而傳送垃圾郵
件。
要挾
2
-
運用
DNS
傳輸資訊,而不僅僅是樹立銜接
示例:
DNSMessenger
木馬、
DNSpionage
、
Pisloader
木馬以及任何其他根據地道的要挾
地道的工作是經過將資訊編碼到查詢域名中,然後由歹意接收方伺服器對其進行解碼。從
DNS
日誌的角度來看,有一些關鍵的痕跡標明這種行為正在發作。
由於編碼資訊一般會導致看起來像是一系列字元的紊亂,所以查詢域名往往缺少實際的字典中有的單詞,看起來更像是隨機生成的字串。地道查詢一般也是
TXT
和其他查詢型別,其一般不以在典型
計算機運用期間僱員運用所必需的頻率和週期性生成。地道查詢往往是以固定間隔或可疑突發作成的。能夠將查詢歸因於其源以檢視慣例和突發模式非常重要。
要挾
3
-
以演算法方法動態更改查詢的傳送方位
示例:
Nymain
、
Locky Ransomware
、
Qadars Banking Trojan
、
Qbot Trojan
以及任何其他根據
DGA
的歹意軟體
域生成演算法
(DGAs)
是對手黑名單的解決方法。他們建立了一系列防火牆無法識別阻止的域,並測驗運用它們。
也便是說,
DGAs
要求對手實際註冊某些域。為了節省本錢,進犯者傾向於從聲望較差的註冊商中挑選不常見的尖端域名
(TLD)
,如
.biz
、
.work
、
.hello
等。像地道查詢相同,
DGA
查詢也看起來像非字
典單詞,並測驗這些組合涵蓋多個
TLD
。例如
asdf.biz
、
asdf.work
、
asdf.hello
等。
要挾
4
-
躲藏的
DNS
查詢
示例:
DNS over HTTPS(DoH)
經過
HTTPS
的
DNS
履行
DoH
經過加密
DNS
查詢和繞過正常的
DNS
伺服器鏈,作為個人經過私密方法進行網上衝浪。在企業網路上,解決
DoH
是危險的,由於它削弱了安全團隊的可見性。突然之間危險行為變得更難以發現。
要挾
5
-
基礎設施綁架
由於綁架涉及進犯者將自己刺進
DNS
解析鏈並改變經過的資訊,所以檢視查詢的
DNS
日誌以及其各自的呼應可能會有所協助。假如對查詢的呼應發作更改,現在將客戶端指向一般不應傳送到的方位,則
可能是綁架的痕跡。
DNS
查詢答案顯然會隨著時刻的推移而變化,但對於完全不相關的網路上的
IP
地址則更少。
學會傾聽您的
DNS
日誌的變化
DNS
現已存在於每個網路中。問題是,安全團隊是否正在傾聽它們告訴他們的內容
?
當組織運用其日誌進行保護時,就會翻開一個洞察的世界。雖然有一些工具可以協助以更智慧的方法處理一切資料,但任何安全團隊都可以採取基本過程,即使在今天也是如此。
當專用裝置測驗履行非典型操作時要注意,並特別注意隨機生成的查詢,特別是當它們以突發或慣例時刻間隔進行時。