企业如何抵御利用DNS隧道的恶意软件?

恶意软件编写者开始使用DNS请求进行数据渗透,那么,这些攻击的工作原理是什么,以及抵御它们的最佳做法有哪些?

Nick Lewis:多年来,高级攻击者一直在利用DNS隧道、ICMP隧道等进行数据渗透。基于他们取得的成功,很多其他攻击者也开始采用这种技术,让这种技术逐渐普遍。DNS通常也被允许出站连接到互联网,而不需要进行过滤,这让攻击者可以利用它来从受感染网络渗出数据。

DNS隧道通常用于已经受感染的计算机,它会编码恶意DNS域名中少量数据。受感染的计算机可以在恶意域名和/或使用攻击者控制的DNS服务器来执行DNS查询。当受感染计算机的DNS请求到达预期接收者的DNS服务器或设备,攻击者可以记录数据供以后使用和/或在DNS响应中发送少量数据回受感染计算机,DNS响应可能是由受感染计算机执行的命令。这种交换可以从网络渗出少量数据,并在网络上两台计算机之间建立间接通信。

抵御利用DNS隧道的攻击首先需要检测异常DNS流量,这可以通过监控DNS日志或直接使用工具监控网络来执行。初始DNS服务器还可以配置为记录DNS查询请求,并且,企业可以监控这些日志信息查询来自一个端点的大量DNS请求,或者需要被转发的大量DNS请求。这种相同的分析也可以通过监控网络流量来执行。

企业可以在内部部署DNS安全工具或者将这个工作外包给DNS提供商以对企业DNS流量执行分析,并可能阻止或拦截发送到恶意DNS服务器的DNS查询,这些供应商包括Neustar、OpenDNS和Percipient Networks等。

作者:Nick Lewis

来源:51CTO

时间: 2024-09-28 21:07:45

企业如何抵御利用DNS隧道的恶意软件?的相关文章

秘密渗透内网——利用 DNS 建立 VPN 传输隧道

本文讲的是秘密渗透内网--利用 DNS 建立 VPN 传输隧道, 摘要 在APT攻击日益严重的今天,只有不断了解并掌握更加高级且不寻常的攻击手法,才能在内网沦陷之前做好严密的防护.利用DNS建立VPN连接进行网络传输用的正是一种非常隐蔽且不寻常的手法. 概述 当我们被IDS或者防火墙阻断的时候,我们通常开始使用 [DNSCat] 作为一种在约定期间秘密传输数据的手段.同时,DNS 协议经常被系统管理员所忽视,因此,这个工具就一直非常有用.   虽然也有其他的 DNS 隧道连接VPN的解决方案,但

企业如何有效抵御匿名化工具带来的威胁

本文讲的是 :  企业如何有效抵御匿名化工具带来的威胁  ,  [IT168 编译]斯诺登爆料NSA棱镜项目的新闻引发大家对加密工具和匿名化工具的兴趣,越来越多的人开始想办法覆盖他们的行踪,以确保没有人会暗中偷窥他们.PRISM-break.org等网站正在鼓励用户使用非专有web浏览器以及匿名化工具(例如Tor).虽然这些工具非常适合个人使用,但这可能给企业带来严重的安全问题. 信息安全的主要原则之一是清楚你的网络中发生的事情.如果不了解网络中的主机以及传输的流量情况,安全团队基本上在盲目运行

技术报告:APT组织Wekby利用DNS请求作为C&C设施

*本报告翻译自Paloalto Networks技术报告archcenter,作者Josh Grunzweig, Mike Scott and Bryan Lee,仅供业界学习,不用于任何商业用途.如有疏忽或翻译错误敬请指出. 最近几周Paloalto Networks的研究人员注意到,APT组织Wekby对美国的部分秘密机构展开了一次攻击.Wekby这些年一直活跃在医疗.电信.航空航天.国防和高科技等多个领域.它会在漏洞出现的第一时间就对其大加利用,就像在HackingTeam的zero-da

用DNS黑洞阻断恶意软件

本文讲的是 用DNS黑洞阻断恶意软件,阻挡恶意软件.保护用户免受漏洞困扰的途径有很多,Percipient Networks正在寻求新途径:它旗下的Strongarm平台于本月近期上线,该平台适用于移动设备,并且号称全天候运作.该功能旨在阻止恶意软件对工作站点和移动设备的渗透. 托德·奥博伊是Percipient Networks的联合创始人兼首席技术官,他于2014年11月筹建了公司,此前他已经在MITRE公司担任了15年的工程师.(MITRE公司是一个负责引领和组织美国政府赞助的研究项目的非

秘笈|如何利用DNS做好网络安全工作

DNS是一种在考虑安全问题时常被人忽略的核心基础设施组件.坏人常利用它来侵入企业网络. DNS安全常被认为是要么保护DNS架构和基础设施不受各种攻击侵扰,要么维护白名单黑名单来控制对恶意域名的访问--虽然这确实是很重要的一个方面,但网络安全人员利用DNS获得的安全控制.情报和益处,真心比这要多得多.下面列出了内部和外部DNS能给企业在积极缓解已知和未知威胁上带来的各种好处. 1. 内部和外部可见性 无论是IT基础设施.企业服务器.桌面电脑.笔记本电脑.POS系统.连到来宾网络的非受信设备甚或智能

如何发现“利用DNS放大攻击”的服务器

本文讲的是如何发现"利用DNS放大攻击"的服务器,很多网络服务异常,往往都是攻击造成的,但原因有很多种,如何分析定位,则是解决问题的关键.DNS放大攻击是一种拒绝服务攻击.攻击者利用僵尸网络中大量的被控主机,伪装成被攻击主机,在特定时间点,连续向多个允许递归查询的DNS服务器,发送大量DNS服务请求,迫使其提供应答服务.经DNS服务器放大后的大量应答数据,再发送到被攻击主机,形成攻击流量,导致其无法提供正常服务甚至瘫痪. 0x11问题描述 XX.XX.29.4为某大型行业用户的DNS服

利用DNS AAAA记录和IPv6地址传输后门

一.前言 在本文中,我想解释如何在DNS流量中利用IPv6地址(AAAA)记录传输Payload.在我之前的文章中,我解释了如何利用DNS和PTR记录,现在我们将讨论AAAA记录. 本文分为两部分: 第一部分:DNS AAAA记录和ICMPv6 第二部分:DNS和AAAA记录(大的DNS AAAA记录响应) 二.DNS AAAA记录和ICMPv6 IPv6地址对于传输Payload非常有用,让我解释下如何完成这个例子. 举个例子,我们有一个IPv6地址如下: fe80:1111:0034:abc

利用显卡运行的恶意软件“水母”又有了Windows版本

本文讲的是 利用显卡运行的恶意软件"水母"又有了Windows版本,上周国外媒体报道的可利用显卡运行的Linux恶意软件包,又有了新的版本,可以运行在Windows系统下,而且发布该恶意软件概念性验证代码的研究小组表示,Mac OS X的版本也在研制中. 研究人员表示,恶意软件能够感染显卡的GPU(图形处理器),但安全界还尚未认识到这一点,因此需要提升安全认识.研究人员表示,带来的问题不在于操作系统,也不在于生产GPU的厂商,而在于现有的安全工具中.因为现有的安全工具,根本不会去扫描G

王准之:企业网站如何利用网络视频来做产品推广

中介交易 SEO诊断 淘宝客 云主机 技术大厅 晚上跟一个做儿童早教产品的老乡聊天,当时他看了我的QQ个性签名:百度"王准之",浩哥排第一,嘿嘿,记得要点击!然后就去百度了下,结果找到了我的博客,然后她也试着百度了下自己的名字,也找到了与自己相关的一些信息,然后告诉了我.我于是也百度下她的名字后,果然发现了第一页前十条都是与他相关的新闻信息,我就打开看了下,结果都是一些她参与录制的视频节目. 节目的大致内容也就是她作为知名育婴讲师参加了由宜昌山峡广电网举办的一个<让宝宝在游戏中成