正文

【霄享·安全】DNS监测与应急处置——2024年1月刊(总第47期)

admin
admin V管理员 /0 评论 /120 阅读
0123
此篇文章发布距今已超过291天,您需要注意文章的内容或图片是否可用!

近年来,全球网络攻击态势发生了显著变化。与传统的网络攻击相比,现代攻击组织更倾向于使用各类恶意程序感染主机,获取控制权并展开进一步攻击。常见的攻击手段包括勒索软件、木马、僵尸网络和网络钓鱼等。

据某知名安全技术中心统计数据[1]显示,2023年上半年我国遭受的恶意程序攻击次数超过147.67亿,较2022年同期增加6.59%。

报告指出,攻击者存在使用ChatGPT生成恶意代码进行网络攻击的现象;在地下黑客论坛中已经发现了1500多条关于如何使用ChatGPT进行恶意软件开发的资料。

此外,攻击者也使用ChatGPT等生成型AI来辅助实施钓鱼攻击,导致网络钓鱼邮件攻击事件数量增长135%。以上数据表明,此类攻击手段对网络安全构成的威胁正在不断升级。但如果能够在恶意程序感染初期及时发现并有效阻断攻击,就能极大地降低潜在的风险与损失。

网络安全中的DNS监测

恶意DNS监测作为一种用于发现和防御恶意程序的有效手段,可以通过收集企业内部的DNS请求记录,结合威胁情报、大数据、网络安全等专业方法,识别是否存在可疑的域名请求、外连等行为,从而及时发现网络内部发生的恶意攻击行为并进行阻断。

当下的网络环境中,各种具备成熟体系的攻击方式层出不穷。

以僵尸网络为例:

僵尸网络是指采用一种或多种攻击手段,将大量主机感染僵尸病毒,并在控制者和被感染主机之间形成的一个可一对多控制的网络。攻击者基于僵尸网络搭建一个平台,用于实施网络钓鱼、垃圾邮件、漏洞扫描、DDOS攻击等攻击行为,从而在短时间内造成巨大的影响力和破坏力。因此,僵尸网络已经成为互联网中最为严重的安全威胁之一。

由于僵尸网络的控制端服务器(C2服务器)与被控主机之间存在命令下发、数据传输等需求,因此两者之间存在传输信道。这也是僵尸网络的一个特征,即被控主机通过C2服务器获取指令并执行。那么为了保证被控主机与C2服务器之间的交互,僵尸病毒中应当包含C2服务器的地址。

在僵尸网络发展初期,C2服务器的IP地址被硬编码在僵尸病毒文件中。然而,这种编码方式存在一个问题:一旦C2服务器的IP地址发生变更,被控主机与C2服务器的传输信道就会失效,从而导致僵尸网络异常。

为了解决上述问题,攻击者在僵尸病毒文件中写入C2服务器的域名序列,并轮询访问序列中的域名来定位C2服务器的地址。通过DNS服务,C2服务器可以自由切换域名映射后的IP地址。然而,这种设计方式仍然存在缺陷:防守方可以通过逆向僵尸病毒文件获取编码在文件内部的域名序列,或者通过观察有限的流量数据来识别域名序列,从而设定域名黑名单,进而拦截被控主机与C2服务器的传输信道。

“攻”与“防”是交互发展的。

随着DGA(Domain Generation Algorithm, 域名生成算法)技术的出现,域名黑名单策略的有效性大打折扣。僵尸病毒等恶意程序可以通过DGA算法生成大量随机的恶意域名序列,并依次尝试使用这些生成的域名连接控制端。基于这种算法,攻击者只需要注册其中的几个域名,就可以保证被控主机与控制端的通信。在该技术的支撑下,域名解析可以设定很短的有效期,并且可以频繁地进行切换,使域名黑名单策略无法进行有效防御。

因此,利用恶意DNS监测技术,通过捕获企业的DNS请求,并结合威胁情报、大数据、网络安全等专业方法进行分析,可以帮助构建企业自己的基于DNS的威胁感知和防御能力,这有助于企业在攻击行为发生的早期迅速发现和定位,从而大大降低攻击所带来的负面影响。

通用处置建议

当企业通过恶意DNS监测技术,发现内部有主机感染了恶意病毒时,应当采取什么样的措施进行有效处置呢?

通用的处置建议

1

根据恶意DNS监测技术检测出的恶意域名信息,利用DNS服务日志、虚拟代理等手段来定位感染恶意文件的主机。

2

由于多数病毒具备极强的感染性,因此需要将感染的主机与网络隔离,以此阻止病毒继续传播到其他主机、网络中。

3

使用诸如系统管理工具、防病毒工具等查找并关闭与恶意病毒相关的进程,定位恶意文件并进行全面清理。同时需要注意排查注册表、启动项、定时任务等敏感位置。不同类型的病毒具备不同的特征。恶意DNS监测技术可以根据恶意域名信息辅助判断病毒种类。基于细分的病毒种类,相关工作人员可以更容易地识别出病毒的行为特征,从而进行有针对性的排查。

4

恶意病毒通常利用各类漏洞进行传播。事后需要对病毒的传播路径进行复盘,梳理系统和网络的脆弱点,并进行修复与防护。

参考文献:

[1] https://download.sangfor.com.cn/%20download/蓝军/2023年上半年网络安全观察报告%20%283%29.pdf

END

帆一尚行是上汽集团为数字化转型而设立的创新平台,以“消融产业边界,释放数据价值”为己任,聚焦安全云、自动驾驶云、智能制造及产业互联网技术领域,赋能行业数字化转型,加速产业数字化、数字产业化进程,积极推动社会数字经济发展。作为一家深耕汽车行业云计算,同时发展多元化业务的科技公司,帆一尚行为企业、开发者和政府机构等提供安全、可靠的数据计算与处理能力、专属云产品与服务。

帆一尚行网络安全协同平台提供DNS监测服务,该服务能够帮助企业在恶意程序感染初期及时发现、定位受感染主机,并对恶意DNS请求进行有效拦截,从而最大可能地降低攻击产生的负面影响。

本期专家介绍

吴之雨

上海帆一尚行科技有限公司网络安全专家

多年网络与信息安全经验(渗透测试、云安全、社会工程学、安全运营等)

部分内容、图片源自网络,如有侵权请与我们联系删除。

点击下方名片,关注我们

觉得内容不错,就点“赞”“在看”

如果不想错过新的内容推送,可以设为星标🌟哦


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om