103.219.29杭州DNS常見的的5個網路安全威脅

阿鴻說Server發表於2019-06-24

 網路安全可能是一項令人筋疲力盡的工作。現在網路上有訊號和操控點,這些訊號和操控點從網路角度來看都沒有得到充分運用,不是說要增加新功用,運用您現有的功用。

進犯者運用盲點,專攻安全團隊沒有進行監控的確切方位,其間一個地方便是 DNS 。遺憾的是直到最近,該協議乃至還被降級為 IT 基礎架構團隊,並被視為純粹的網路管道。

現在,需求再次提醒您需求將 DNS 理解為要挾載體。這是政企組織、通訊公司等各個網際網路相關的企業需求重視的論題。

DNS 相關的安全問題是必然會發作的,由於大約百分之九十的歹意軟體依靠 DNS 進行進犯。它用於長途指令和操控歹意軟體,將資料洩露到外部等一系列活動。以下是您的 DNS 日誌中可能會呈現網路安   全要挾的幾種方法。




要挾 1  -   機器履行他們一般不會履行的操作

示例:像 Emotet 相同的 Spambot 歹意軟體   大多數專用裝置,如工廠機器、銷售點 (POS) 機器和印表機,都會發作相當可預期的 DNS 查詢模式。即使它看起來很溫文,但任何與這些裝置之一不同的東西都可能意味著麻煩。例如,假如來自您商鋪   POS 機的 DNS 查詢正在查詢 Google.com ,則表示您遇到了問題。

乃至更廣泛的裝置也會發作特定的行為模式。例如,使用者膝上型電腦一般不生成 MX 查詢型別,郵件伺服器便是這樣做的。假如使用者膝上型電腦開始像郵件伺服器相同,這可能是由於感染而傳送垃圾郵   件。




要挾
2  -   運用 DNS 傳輸資訊,而不僅僅是樹立銜接

示例: DNSMessenger 木馬、 DNSpionage Pisloader 木馬以及任何其他根據地道的要挾

地道的工作是經過將資訊編碼到查詢域名中,然後由歹意接收方伺服器對其進行解碼。從 DNS 日誌的角度來看,有一些關鍵的痕跡標明這種行為正在發作。



由於編碼資訊一般會導致看起來像是一系列字元的紊亂,所以查詢域名往往缺少實際的字典中有的單詞,看起來更像是隨機生成的字串。地道查詢一般也是 TXT 和其他查詢型別,其一般不以在典型   計算機運用期間僱員運用所必需的頻率和週期性生成。地道查詢往往是以固定間隔或可疑突發作成的。能夠將查詢歸因於其源以檢視慣例和突發模式非常重要。




要挾
3  -   以演算法方法動態更改查詢的傳送方位

示例: Nymain Locky Ransomware Qadars Banking Trojan Qbot Trojan 以及任何其他根據 DGA 的歹意軟體

域生成演算法 (DGAs) 是對手黑名單的解決方法。他們建立了一系列防火牆無法識別阻止的域,並測驗運用它們。

也便是說, DGAs 要求對手實際註冊某些域。為了節省本錢,進犯者傾向於從聲望較差的註冊商中挑選不常見的尖端域名 (TLD) ,如 .biz .work .hello 等。像地道查詢相同, DGA 查詢也看起來像非字   典單詞,並測驗這些組合涵蓋多個 TLD 。例如 asdf.biz asdf.work asdf.hello 等。




要挾
4  -   躲藏的 DNS 查詢

示例: DNS over HTTPS(DoH) 經過 HTTPS DNS 履行

DoH 經過加密 DNS 查詢和繞過正常的 DNS 伺服器鏈,作為個人經過私密方法進行網上衝浪。在企業網路上,解決 DoH 是危險的,由於它削弱了安全團隊的可見性。突然之間危險行為變得更難以發現。

要挾 5  -   基礎設施綁架

由於綁架涉及進犯者將自己刺進 DNS 解析鏈並改變經過的資訊,所以檢視查詢的 DNS 日誌以及其各自的呼應可能會有所協助。假如對查詢的呼應發作更改,現在將客戶端指向一般不應傳送到的方位,則   可能是綁架的痕跡。 DNS 查詢答案顯然會隨著時刻的推移而變化,但對於完全不相關的網路上的 IP 地址則更少。




學會傾聽您的
DNS 日誌的變化

DNS 現已存在於每個網路中。問題是,安全團隊是否正在傾聽它們告訴他們的內容 ?

當組織運用其日誌進行保護時,就會翻開一個洞察的世界。雖然有一些工具可以協助以更智慧的方法處理一切資料,但任何安全團隊都可以採取基本過程,即使在今天也是如此。

當專用裝置測驗履行非典型操作時要注意,並特別注意隨機生成的查詢,特別是當它們以突發或慣例時刻間隔進行時。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69933931/viewspace-2648480/,如需轉載,請註明出處,否則將追究法律責任。

相關文章