犯罪分子一有机会就会利用任何互联网服务或协议。DNS 中有六个需要注意的可疑活动迹象。
IT 管理员负责吃力不讨好的工作,必须监视设备、主机和网络是否有恶意行为迹象。主机入侵检测和端点保护可能是很多组织"非有不可"的安全措施,但如果您希望找到存在于您网络上的 RAT、 rootkit、 APT 或其他恶意软件,没有什么能比得上监控 DNS 流量。
为什么是 DNS?
犯罪分子一有机会就会利用任何互联网服务或协议,这也包括 DNS。他们为垃圾邮件活动和僵尸网络管理而注册一次性使用的 域名,并使用受攻击的域名来提供网络钓鱼或恶意软件下载。他们通过进行恶意查询来利用域名服务器或中断域名解析。他们通过注入狡猾的响应程序来破坏解析器缓存,或放大拒绝服务攻击。他们甚至将 DNS 用作数据渗漏或恶意软件更新的隐蔽信道。
您可能无法跟上每次新 DNS 利用的步伐,但您可以采取主动,通过使用防火墙、网络 IDS 或域名解析器来报告可疑 DNS 活动的某些迹象。
您要查找什么?
DNS 组合查询或流量模式可提供可疑或恶意行为正从您的网络发出的迹象。例如:
来自欺诈性源地址的 DNS 查询,或您未授权使用且未进行出口过滤的地址的 DNS 查询(特别是在同时观察到异常高的 DNS 查询量或使用 TCP 而非 UDP 的 DNS 查询时)可能表明您网络上的受感染主机参与了 DDoS 攻击。
异常的 DNS 查询可能表明目标 IP 地址识别了针对域名服务器或解析器的漏洞利用攻击;也可能表明您未在网络上正确操作设备。出现这类问题的原因可能是存在恶意软件,或是尝试删除恶意软件不成功。
在很多情况下,要求对已知的恶意域名或具有与犯罪僵尸网络相关的域名生成算法 (DGA) 共同特征的域名进行域名解析的 DNS 查询,以及对您未授权使用的解析器的查询都是您的网络上存在受感染主机的确凿证据。
DNS 响应也提供正向您网络上的主机传送可疑或恶意数据的迹象。例如,DNS 响应的长度或组成特征可以揭示恶意或犯罪意图。比如响应消息异常大(放大攻击),或响应消息的答案或其他部分可疑(缓存投毒、隐蔽信道)。
DNS 对解析为不同于您在授权区域公布的 IP 地址的自有域名组合的响应、来自您未授权为您的区域提供服务器的域名服务器的响应,以及对您的区域内应解析为域名错误 (NXDOMAIN) 的域名的积极响应,均可能表明域名或注册帐户遭到劫持或 DNS响应修改。
来自可疑 IP 地址(如:来自分配给宽带接入网络的 IP 区块的地址)的 DNS 响应、出现在非标准端口上的 DNS 流量、异常高数量使用较短存活时间 (TTL) 解析域名的响应消息或异常高数量包含"域名错误"(NXDOMAIN) 的响应,这些通常表明受僵尸网络控制、受感染的主机在运行恶意软件。
各种形式的 DNS 监控可暴露这些威胁,其中很多都可以实时揭露。在第 II 部分中,我将着眼于如何使用网络入侵检测系统、流量分析或日志数据在互联网防火墙上实施检测这些威胁的机制。
本文最初于 2014 年 6 月 12 日在 Dark Reading上发表。