DNS有被滥用以促进恶意活动的历史。 它无处不在,它是可靠的,而且通常没有适当的监控或过滤。 DNS也是从特定IP地址抽象服务的最佳方法。 这就是为什么大多数恶意软件利用协议进行攻击的原因。
莫扎特(Mozart)是Malware Hunter Team首次发现的恶意软件,是一个使用DNS进行命令和控制的对手的经典案例。 它的作者正在/正在使用TXT记录将命令返回到已安装的恶意软件。 为了彻底崩溃,哨兵实验室负责人Vitali Kremez在他的博客上打开了这个过程。
安德鲁·沃特金是蓝猫的首席战略官。
“这种[方法]之所以有吸引力,”Farsight首席执行官保罗·维西(Paul Vixie)在一段关于这个话题的视频中解释说,“DNS是有效的。 你从任何地方问一个问题,你就会得到每个人都应该得到的答案。
恶意软件的作者/正在押注于这样一个事实,即组织没有监控显而易见的情况。 我喜欢把DNS称为傻瓜,因为它在没有任何偏见的情况下尽其最大的能力来回答这个问题。 因此,DNS可以成为任何命令和控制体系结构的一部分。
莫扎特在受感染的客户端与其服务器之间建立了一条直接的通信线路。 它通过对受感染客户端解析的DNS服务器IP地址进行硬编码来实现这一点,从而绕过中央DNS服务器、策略规则和监视。 然后在恶意软件服务器和受感染设备之间传输的命令隐藏在DNS TXT记录中。
莫扎特有一个硬编码的DNS服务器IP地址。 一种完全依赖于设置防火墙规则来阻止与莫扎特或其他类似恶意软件(或任何可疑领域)相关的IP地址的策略不是正确的方法。 在这种情况下,您正在为您的安全团队设置一个长时间的打击游戏,因为恶意活动可以启动到一个新的IP到没有结束。
一般来说,您已知的坏域和IP列表不太可能跟上新出现的威胁。 你的策略必须说明这一点。
确保你能检查一切:
使用莫扎特作为提醒-一个有真正后果的-将DNS最佳实践纳入您的安全姿态。 首先,不要允许DNS流量绕过公司DNS服务器(因此监视和策略应用程序)。
阻止所有直接访问从端口53,除了指定的公司DNS服务器。 强制您的所有公司名称解析通过您的解析器将有助于保持您的能力,以监控流量和应用策略。 更具体地说,它确保DNS查询只能访问公开注册的域,而不是像莫扎特设置的那样的自托管服务器。
与基线进行比较以推断上下文
文本记录查询对于几个特定的用例是常见的。 除了简单地监控对已知不好的、新的或其他邪恶的领域的查询之外,企业还可以——并且应该——从测量的基线中寻找异常。
例如,如果您知道通常由Mac和Micros of t客户端查询的TXT记录的基线百分比,则可以更容易地发现恶意软件利用TXT查询引起的异常。 此外,如果您知道公司企业上下文中TXT记录的典型用例(防病毒检查、性能监控、嵌入问题等),则更容易发现查询检查可能异常的内容。 当涉及到TXT查询时,公司设备有一个非常规则的模式。 当然,它基于杀毒代理加上其他一些因素而有所不同,但通常它是相当可预测的。
这个关于异常检测的建议不仅仅适用于TXT记录。 它也适用于邮件交换、区域转移或其他特殊用途资源记录。 例如,网络中的IoT设备没有理由查询邮件服务器。
物联网设备,特别是专门建立的设备,如销售点(POS)机器,也有一组他们查询的可预测的域。 为每种类型的IoT设备建立一个基线,并监测偏差,是另一种策略,为妥协的。 或者,您可以考虑将IoT设备查询完全阻塞到其典型集合之外的任何内容。
此外,仔细查看查询名称。 DNS查询名称可能会泄露数据隧道活动(它可以将编码的字符串直接嵌入到查询名称中),并指示域名生成算法是否在工作中以绕过您的块列表。
最后,查询响应,如果是基本的,也可以是发现DNS劫持的丰富信号。 由于劫持涉及对手将自己插入DNS解析链并将客户端重定向到不良参与者拥有的目的地,因此对常规查询的响应或响应类型的突然更改可以指示妥协。
一般来说,了解DNS通常如何在企业中使用,使您能够发现各种邪恶活动的迹象,如命令和控制、隧道、外过滤、中毒、劫持等等。 莫扎特可能是创造性地创作的,但恶意软件扮演的漏洞已经存在(并被利用)在公司企业环境多年。