惡意軟件橫行,DNS“功”不可沒

責(zé)任編輯:editor005

2016-05-24 11:32:20

摘自:C114

思科2016年安全報(bào)告顯示,惡意軟件一般通過DNS實(shí)現(xiàn)命令與控制(Command and Control)信道、竊取數(shù)據(jù)和重定向流量等三個(gè)目的。

在互聯(lián)網(wǎng)全球化進(jìn)程日益加快的今天,數(shù)據(jù)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施已經(jīng)成為企業(yè)或組織的核心,員工、合作伙伴和客戶之間的聯(lián)系、重要的業(yè)務(wù)進(jìn)程都越來越依賴于互聯(lián)網(wǎng)的支撐,而提供IP地址和域名轉(zhuǎn)換的DNS系統(tǒng),是實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用必不可少的前提,對確保企業(yè)互聯(lián)網(wǎng)化運(yùn)作可謂功不可沒。

DNS作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一個(gè)根本部分,關(guān)系到企業(yè)的生產(chǎn)力,但正是因?yàn)镈NS應(yīng)用的這種普及性和不可替代性,它又是一個(gè)主要的攻擊途徑。雖然很多企業(yè)正在全力以赴地應(yīng)對網(wǎng)絡(luò)安全威脅,以期能檢測和規(guī)避常見及專業(yè)的網(wǎng)絡(luò)攻擊,但遺憾的是,大多數(shù)企業(yè)并沒有對DNS安全起到足夠的重視,使企業(yè)的數(shù)據(jù)、資產(chǎn)和信譽(yù)都處在風(fēng)險(xiǎn)之中。思科2016年度安全報(bào)告指出,近91.3%的“已知不良”惡意軟件被發(fā)現(xiàn)使用DNS作為主要手段,但68%的企業(yè)卻忽略了這個(gè)問題,并沒有對DNS解析器進(jìn)行監(jiān)測,思科非常形象地把這稱作“DNS盲點(diǎn)”——DNS是互聯(lián)網(wǎng)上最常見的協(xié)議,但它卻成為了最容易被忽視的。

為什么是DNS?攻擊者會(huì)抓住任何互聯(lián)網(wǎng)服務(wù)或協(xié)議的漏洞來發(fā)動(dòng)攻擊,這當(dāng)然也包括DNS。思科2016年安全報(bào)告顯示,惡意軟件一般通過DNS實(shí)現(xiàn)命令與控制(Command and Control)信道、竊取數(shù)據(jù)和重定向流量等三個(gè)目的。

攻擊者曾使用很多信道與他們的僵尸網(wǎng)絡(luò)或惡意主機(jī)通信,比如TCP、IRC或HTTP等,但通過這些通道的惡意軟件流量都可以被防火墻等網(wǎng)絡(luò)安全設(shè)備或方案檢測到并阻止。但對于DNS而言情況卻并非如此。由于DNS服務(wù)的不可替代性,而企業(yè)又缺乏對DNS安全的重視,所以幾乎所有類型的網(wǎng)絡(luò)都會(huì)允許DNS數(shù)據(jù)報(bào)文不受限制地訪問網(wǎng)絡(luò),而不對其流量進(jìn)行過濾或檢查。惡意軟件正是利用了這一點(diǎn),通過在DNS協(xié)議中構(gòu)建隧道,進(jìn)行命令控制和數(shù)據(jù)滲漏。比如通過DNS響應(yīng)來接收指令,并利用DNS查詢請求,傳送竊取到的數(shù)據(jù),如用戶或企業(yè)的敏感信息。利用DNS隧道技術(shù)的攻擊近年來逐漸上升,規(guī)模也越來越大,比如2013年針對Target、2014年針對Sally Beauty和家得寶的攻擊,都是將竊取的數(shù)據(jù)偽裝在DNS查詢到數(shù)據(jù)包中外泄出去;而針對POS(Point of Sale銷售點(diǎn))的惡意軟件族NewPosThings在今年四月也出現(xiàn)了新的變種Multigrain,客戶端感染Multigrain惡意軟件后,Multigrain會(huì)使用精心設(shè)計(jì)的DNS請求包告訴攻擊者已經(jīng)成功在目標(biāo)主機(jī)上進(jìn)行了安裝,之后它會(huì)抓取目標(biāo)機(jī)上的信用卡數(shù)據(jù)(如賬號(hào)密碼等),將數(shù)據(jù)進(jìn)行加密后,每隔5分鐘使用DNS查詢將新的數(shù)據(jù)發(fā)送給攻擊者。除了隧道技術(shù),當(dāng)客戶端與受感染或惡意的DNS服務(wù)器進(jìn)行交互的時(shí)候,正常的域名請求響應(yīng)可能因?yàn)镈NS緩存投毒或DNS重定向而被劫持,引導(dǎo)至惡意網(wǎng)站或被惡意代碼感染。

當(dāng)然,除了惡意軟件,還有很多網(wǎng)絡(luò)攻擊也離不開DNS,比如APT攻擊、垃圾郵件、僵尸網(wǎng)絡(luò)和掛馬網(wǎng)站等,它們都在利用DNS伺機(jī)攻擊企業(yè)的網(wǎng)絡(luò)。根據(jù)Forrester(一家獨(dú)立的技術(shù)和市場調(diào)研公司)最新發(fā)布的亞太地區(qū)漏洞管理趨勢調(diào)研報(bào)告顯示:在過去的一年中,80%的公司曾遭受至少一次的攻擊,最常見的是釣魚和基于DNS的攻擊。

盡管DNS是很多攻擊的源頭,但大多數(shù)企業(yè)并沒有對DNS基礎(chǔ)設(shè)施進(jìn)行監(jiān)控。對于他們來說,DNS可能僅是一種實(shí)用工具,是在后面運(yùn)行的系統(tǒng),只要DNS能正常運(yùn)行,那些隱藏在DNS流量之下的危險(xiǎn)就可以忽視不管了。不能任由DNS躺在那里,門戶大開了。為此US-CERT(United States Computer Emergency Readiness Team美國計(jì)算機(jī)應(yīng)急小組)提出應(yīng)控制企業(yè)內(nèi)網(wǎng)到外網(wǎng)的DNS流量來保證DNS請求和響應(yīng)的安全性:即只能向企業(yè)內(nèi)部被授權(quán)的DNS緩存域名服務(wù)器發(fā)起請求和接收響應(yīng),不允許直接使用外網(wǎng)DNS系統(tǒng)。具體措施包括自建企業(yè)DNS緩存服務(wù)器,對企業(yè)DNS流量進(jìn)行監(jiān)控和過濾,除了內(nèi)網(wǎng)DNS緩存域名服務(wù)器和授權(quán)域名服務(wù)器,對所有向53端口發(fā)送和接收的UDP和TCP流量進(jìn)行阻止和過濾。除了這些具體措施,國內(nèi)DNS解決方案提供商泰策也一再強(qiáng)調(diào)DNS基礎(chǔ)設(shè)施建設(shè)的重要性,呼吁企業(yè)盡快建立自己的DNS系統(tǒng):一方面對DNS流量進(jìn)行必要的監(jiān)控和管理,這是檢測潛在惡意網(wǎng)絡(luò)活動(dòng)的一個(gè)重要工具;另一方面對DNS數(shù)據(jù)報(bào)文進(jìn)行分析和處理,阻斷對惡意鏈接的訪問,避免垃圾郵件、掛馬網(wǎng)站、僵尸網(wǎng)絡(luò)和釣魚網(wǎng)站的侵害。此外,落實(shí)DNS基礎(chǔ)設(shè)施建設(shè)也不僅僅是一項(xiàng)未雨綢繆的舉措,DNS數(shù)據(jù)中有大量的信息可向企業(yè)提供網(wǎng)絡(luò)內(nèi)部發(fā)生的情況,在企業(yè)遭受基于DNS的安全威脅時(shí),DNS就有了更多的用武之地,大量的DNS數(shù)據(jù)記錄可幫助網(wǎng)絡(luò)安全人員分提取有效信息、進(jìn)行必要的取證和防護(hù)處理??傊珼NS是所有在線服務(wù)的立足之本,DNS安全涉及企業(yè)安全根本,重視DNS,正是此刻。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)