網(wǎng)絡(luò)安全可能是一項(xiàng)令人筋疲力盡的工作。如今網(wǎng)絡(luò)上有信號(hào)和控制點(diǎn)，這些信號(hào)和控制點(diǎn)從網(wǎng)絡(luò)角度來看都沒有得到充分利用，不是說要添加新功能，利用您現(xiàn)有的功能。

黑客利用盲點(diǎn)，專攻安全團(tuán)隊(duì)沒有進(jìn)行監(jiān)控的確切位置，其中一個(gè)地方就是DNS。遺憾的是直到最近，該協(xié)議甚至還被降級(jí)為IT基礎(chǔ)架構(gòu)團(tuán)隊(duì)，并被視為純粹的網(wǎng)絡(luò)管道。

現(xiàn)在，需要再次提醒您需要將DNS理解為威脅載體。這是政企組織、通信公司等各個(gè)互聯(lián)網(wǎng)相關(guān)的企業(yè)需要關(guān)注的話題。

[[260871]]

DNS相關(guān)的安全問題是必然會(huì)發(fā)生的，因?yàn)榇蠹s百分之九十的惡意軟件依賴DNS實(shí)施威脅。它用于遠(yuǎn)程命令和控制惡意軟件，將數(shù)據(jù)泄露到外部等一系列活動(dòng)。以下是您的DNS日志中可能會(huì)出現(xiàn)網(wǎng)絡(luò)安全威脅的幾種方式。

威脅1 - 機(jī)器執(zhí)行他們通常不會(huì)執(zhí)行的操作

示例：像Emotet一樣的Spambot惡意軟件

大多數(shù)專用設(shè)備，如工廠機(jī)器、銷售點(diǎn)(POS)機(jī)器和打印機(jī)，都會(huì)產(chǎn)生相當(dāng)可預(yù)期的DNS查詢模式。即使它看起來很溫和，但任何與這些設(shè)備之一不同的東西都可能意味著麻煩。例如，如果來自您商店的POS機(jī)的DNS查詢正在查找Google.com，則表示您遇到了問題。

甚至更廣泛的設(shè)備也會(huì)產(chǎn)生特定的行為模式。例如，用戶筆記本電腦通常不生成MX查詢類型，郵件服務(wù)器就是這樣做的。如果用戶筆記本電腦開始像郵件服務(wù)器一樣，這可能是因?yàn)楦腥径l(fā)送垃圾郵件。

威脅2 - 使用DNS傳輸信息，而不僅僅是建立連接

示例：DNSMessenger木馬、DNSpionage、Pisloader木馬以及任何其他基于隧道的威脅

隧道的工作是通過將信息編碼到查詢域名中，然后由惡意接收方服務(wù)器對(duì)其進(jìn)行解碼。從DNS日志的角度來看，有一些關(guān)鍵的跡象表明這種行為正在發(fā)生。

因?yàn)榫幋a信息通常會(huì)導(dǎo)致看起來像是一系列字符的混亂，所以查詢域名往往缺少實(shí)際的字典中有的單詞，看起來更像是隨機(jī)生成的字符串。隧道查詢通常也是TXT和其他查詢類型，其通常不以在典型計(jì)算機(jī)使用期間雇員利用所必需的頻率和周期性生成。隧道查詢往往是以固定間隔或可疑突發(fā)生成的。能夠?qū)⒉樵儦w因于其源以查看常規(guī)和突發(fā)模式非常重要。

威脅3 - 以算法方式動(dòng)態(tài)更改查詢的發(fā)送位置

示例：Nymain、Qadars Banking Trojan、Qbot Trojan以及任何其他基于DGA的惡意軟件

域生成算法(DGAs)是對(duì)手黑名單的解決方法。他們創(chuàng)建了一系列防火墻無法識(shí)別阻止的域，并嘗試使用它們。

也就是說，DGAs要求對(duì)手實(shí)際注冊(cè)某些域。為了節(jié)省成本，攻擊者傾向于從聲望較差的注冊(cè)商中選擇不常見的頂級(jí)域名(TLD)，如.biz、.work、.hello等。像隧道查詢一樣，DGA查詢也看起來像非字典單詞，并嘗試這些組合涵蓋多個(gè)TLD。例如asdf.biz、asdf.work、asdf.hello等。

威脅4 - 隱藏的DNS查詢

示例：DNS over HTTPS(DoH)通過HTTPS的DNS執(zhí)行

DoH通過加密DNS查詢和繞過正常的DNS服務(wù)器鏈，作為個(gè)人通過私密方式進(jìn)行網(wǎng)上沖浪。在企業(yè)網(wǎng)絡(luò)上，解決DoH是危險(xiǎn)的，因?yàn)樗魅趿税踩珗F(tuán)隊(duì)的可見性。突然之間風(fēng)險(xiǎn)行為變得更難以發(fā)現(xiàn)。

威脅5 - 基礎(chǔ)設(shè)施劫持

因?yàn)榻俪稚婕肮粽邔⒆约翰迦隓NS解析鏈并改變通過的信息，所以檢查查詢的DNS日志以及其各自的響應(yīng)可能會(huì)有所幫助。如果對(duì)查詢的響應(yīng)發(fā)生更改，現(xiàn)在將客戶端指向通常不應(yīng)發(fā)送到的位置，則可能是劫持的跡象。DNS查詢答案顯然會(huì)隨著時(shí)間的推移而變化，但對(duì)于完全不相關(guān)的網(wǎng)絡(luò)上的IP地址則更少。

學(xué)會(huì)傾聽您的DNS日志的變化

DNS已經(jīng)存在于每個(gè)網(wǎng)絡(luò)中。問題是，安全團(tuán)隊(duì)是否正在傾聽它們告訴他們的內(nèi)容?

[[260872]]

當(dāng)組織利用其日志進(jìn)行保護(hù)時(shí)，就會(huì)打開一個(gè)洞察的世界。雖然有一些工具可以幫助以更智能的方式處理所有數(shù)據(jù)，但任何安全團(tuán)隊(duì)都可以采取基本步驟，即使在今天也是如此。

當(dāng)專用設(shè)備嘗試執(zhí)行非典型操作時(shí)要注意，并特別注意隨機(jī)生成的查詢，特別是當(dāng)它們以突發(fā)或常規(guī)時(shí)間間隔進(jìn)行時(shí)。