安全专家说恶意软件使用DNS避免检测

一周rsa2012会议已经结束，但它给我们留下了许多宝贵的内容。在RSA大会上，安全专家说，大多数公司对DNS的使用命令和控制通道的DNS被恶意软件攻击者招架不住的数目，以收到恶意软件的指令预计将增加，但大多数企业没有这样的活动扫描。
攻击者使用许多通道与他们的僵尸网络通信，从传统的TCP、IRC和HTTP到不寻常的Twitter feed、脸谱网消息墙，甚至YouTube评论。
然而，对于DNS，情况并非如此。攻击者正在利用这一优势。Ed Skoudis，反黑客挑战研究员创始人和SANS，谈到了新的攻击技术在RSA大会。
DNS协议通常用于精确的密钥函数：将主机名转换为IP地址，反之亦然，因此DNS流量不被流量监控解决方案过滤或检查，并允许大多数网络自由通行。
当DNS查询从一个DNS服务器转移到另一个DNS服务器时，网络级IP停止列表在到达它们各自域的授权服务器之前不能阻止它们。
Skoudis已经发现了两个大型数据泄露事故（造成账户泄露百万）在最近几天，包括恶意软件接收指令通过DNS。他希望更多的攻击者利用这个隐身技术在未来几个月内发动攻击。
Skoudis说，被感染的计算机，甚至不需要有一个出站连接，它可以与攻击者只要能通过本地DNS服务器的主机名（解决沟通执行递归查询）。
Skoudis说，记录所有的DNS查询通过本地服务器是不现实的，因为它会导致严重的性能问题。然而，网络嗅探器捕获样品定期分析可以解决使用。
网络管理员应该查找包含奇怪名称和编码数据的查询或响应。然而，攻击者可能将响应分解成更小的块。
每隔几分钟就会出现相同的查询。它也可能是DNS命令和控制活动的标志，因为受感染的计算机将定期检查新命令。
网络管理员可以使用一些工具，如DNScat，对非标准的DNS流量，制定检测策略。通过交通通过DNS服务器是不是新技术，但越来越多的攻击者将开始使用这种技术来避免被发现，特别是在企业网络，因为他们可以隐藏自己，尽可能多的。