一周rsa2012会议已经结束,但它给我们留下了许多宝贵的内容。在RSA大会上,安全专家说,大多数
公司对DNS的使用
命令和
控制通道的DNS被恶意软件攻击者招架不住的数目,以收到恶意软件的指令预计将增加,但大多数企业没有这样的活动扫描。
攻击者使用许多通道与他们的僵尸
网络通信,从传统的TCP、IRC和HTTP到不寻常的Twitter feed、脸谱网
消息墙,甚至YouTube评论。
然而,对于DNS,
情况并非如此。攻击者正在利用这一优势。Ed Skoudis,反黑客挑战研究员创始人和SANS,谈到了新的攻击技术在RSA大会。
DNS协议通常用于精确的密钥
函数:将主机名
转换为IP
地址,反之亦然,因此DNS流量不被流量监控
解决方案过滤或
检查,并允许大多数网络自由通行。
当DNS
查询从一个DNS
服务器转移到另一个DNS服务器时,网络级IP停止列表在到达它们各自域的授权服务器之前不能阻止它们。
Skoudis已经
发现了两个大型数据泄露事故(造成
账户泄露百万)在最近几天,包括恶意软件接收指令通过DNS。他希望更多的攻击者利用这个隐身技术在未来几个月内发动攻击。
Skoudis说,被感染的
计算机,甚至不需要有一个出站
连接,它可以与攻击者只要能通过
本地DNS服务器的主机名(解决沟通
执行递归查询)。
Skoudis说,记录所有的DNS查询通过本地服务器是不现实的,因为它会导致严重的
性能问题。然而,网络嗅探器捕获样品定期分析可以解决使用。
网络
管理员应该查找包含奇怪名称和编码数据的查询或响应。然而,攻击者可能将响应分解成更小的块。
每隔几分钟就会出现相同的查询。它也可能是DNS命令和控制活动的标志,因为受感染的计算机将定期检查新命令。
网络管理员可以使用一些
工具,如DNScat,对非标准的DNS流量,制定
检测策略。通过交通通过DNS服务器是不是新技术,但越来越多的攻击者将开始使用这种技术来避免被发现,特别是在企业网络,因为他们可以隐藏自己,尽可能多的。