網(wǎng)絡(luò)安全可能是一項令人筋疲力盡的工作。如今網(wǎng)絡(luò)上有信號和控制點，這些信號和控制點從網(wǎng)絡(luò)角度來看都沒有得到充分利用，不是說要添加新功能，利用您現(xiàn)有的功能。

黑客利用盲點，專攻安全團隊沒有進行監(jiān)控的確切位置，其中一個地方就是DNS。遺憾的是直到最近，該協(xié)議甚至還被降級為IT基礎(chǔ)架構(gòu)團隊，并被視為純粹的網(wǎng)絡(luò)管道。

現(xiàn)在，需要再次提醒您需要將DNS理解為威脅載體。這是政企組織、通信公司等各個互聯(lián)網(wǎng)相關(guān)的企業(yè)需要關(guān)注的話題。

[[260871]]

DNS相關(guān)的安全問題是必然會發(fā)生的，因為大約百分之九十的惡意軟件依賴DNS實施威脅。它用于遠(yuǎn)程命令和控制惡意軟件，將數(shù)據(jù)泄露到外部等一系列活動。以下是您的DNS日志中可能會出現(xiàn)網(wǎng)絡(luò)安全威脅的幾種方式。

威脅1 - 機器執(zhí)行他們通常不會執(zhí)行的操作

示例：像Emotet一樣的Spambot惡意軟件

大多數(shù)專用設(shè)備，如工廠機器、銷售點(POS)機器和打印機，都會產(chǎn)生相當(dāng)可預(yù)期的DNS查詢模式。即使它看起來很溫和，但任何與這些設(shè)備之一不同的東西都可能意味著麻煩。例如，如果來自您商店的POS機的DNS查詢正在查找Google.com，則表示您遇到了問題。

甚至更廣泛的設(shè)備也會產(chǎn)生特定的行為模式。例如，用戶筆記本電腦通常不生成MX查詢類型，郵件服務(wù)器就是這樣做的。如果用戶筆記本電腦開始像郵件服務(wù)器一樣，這可能是因為感染而發(fā)送垃圾郵件。

威脅2 - 使用DNS傳輸信息，而不僅僅是建立連接

示例：DNSMessenger木馬、DNSpionage、Pisloader木馬以及任何其他基于隧道的威脅

隧道的工作是通過將信息編碼到查詢域名中，然后由惡意接收方服務(wù)器對其進行解碼。從DNS日志的角度來看，有一些關(guān)鍵的跡象表明這種行為正在發(fā)生。

因為編碼信息通常會導(dǎo)致看起來像是一系列字符的混亂，所以查詢域名往往缺少實際的字典中有的單詞，看起來更像是隨機生成的字符串。隧道查詢通常也是TXT和其他查詢類型，其通常不以在典型計算機使用期間雇員利用所必需的頻率和周期性生成。隧道查詢往往是以固定間隔或可疑突發(fā)生成的。能夠?qū)⒉樵儦w因于其源以查看常規(guī)和突發(fā)模式非常重要。

威脅3 - 以算法方式動態(tài)更改查詢的發(fā)送位置

示例：Nymain、Qadars Banking Trojan、Qbot Trojan以及任何其他基于DGA的惡意軟件

域生成算法(DGAs)是對手黑名單的解決方法。他們創(chuàng)建了一系列防火墻無法識別阻止的域，并嘗試使用它們。

也就是說，DGAs要求對手實際注冊某些域。為了節(jié)省成本，攻擊者傾向于從聲望較差的注冊商中選擇不常見的頂級域名(TLD)，如.biz、.work、.hello等。像隧道查詢一樣，DGA查詢也看起來像非字典單詞，并嘗試這些組合涵蓋多個TLD。例如asdf.biz、asdf.work、asdf.hello等。

威脅4 - 隱藏的DNS查詢

示例：DNS over HTTPS(DoH)通過HTTPS的DNS執(zhí)行

DoH通過加密DNS查詢和繞過正常的DNS服務(wù)器鏈，作為個人通過私密方式進行網(wǎng)上沖浪。在企業(yè)網(wǎng)絡(luò)上，解決DoH是危險的，因為它削弱了安全團隊的可見性。突然之間風(fēng)險行為變得更難以發(fā)現(xiàn)。

威脅5 - 基礎(chǔ)設(shè)施劫持

因為劫持涉及攻擊者將自己插入DNS解析鏈并改變通過的信息，所以檢查查詢的DNS日志以及其各自的響應(yīng)可能會有所幫助。如果對查詢的響應(yīng)發(fā)生更改，現(xiàn)在將客戶端指向通常不應(yīng)發(fā)送到的位置，則可能是劫持的跡象。DNS查詢答案顯然會隨著時間的推移而變化，但對于完全不相關(guān)的網(wǎng)絡(luò)上的IP地址則更少。

學(xué)會傾聽您的DNS日志的變化

DNS已經(jīng)存在于每個網(wǎng)絡(luò)中。問題是，安全團隊是否正在傾聽它們告訴他們的內(nèi)容?

[[260872]]

當(dāng)組織利用其日志進行保護時，就會打開一個洞察的世界。雖然有一些工具可以幫助以更智能的方式處理所有數(shù)據(jù)，但任何安全團隊都可以采取基本步驟，即使在今天也是如此。

當(dāng)專用設(shè)備嘗試執(zhí)行非典型操作時要注意，并特別注意隨機生成的查詢，特別是當(dāng)它們以突發(fā)或常規(guī)時間間隔進行時。