用DNS黑洞阻断恶意软件

本文讲的是 用DNS黑洞阻断恶意软件,阻挡恶意软件、保护用户免受漏洞困扰的途径有很多,Percipient Networks正在寻求新途径:它旗下的Strongarm平台于本月近期上线,该平台适用于移动设备,并且号称全天候运作。该功能旨在阻止恶意软件对工作站点和移动设备的渗透。

托德·奥博伊是Percipient Networks的联合创始人兼首席技术官,他于2014年11月筹建了公司,此前他已经在MITRE公司担任了15年的工程师。(MITRE公司是一个负责引领和组织美国政府赞助的研究项目的非营利性组织。)奥博伊和他在MITRE的同事斯蒂芬·迪卡托决定在安全领域开始新尝试:建立Percipient Networks。

Strongarm是一个DNS黑洞,其中填满了我们团队所开发的协议检测器。当发现受害者试图和黑客控制的节点通信时,我们就接管这个连接。
DNS(域名系统)是连接IP地址和域名的技术。DNS黑洞的方法是:当请求被送往某个特定的域名时,这一请求会被被拒绝或改发,以防止恶意软件感染。奥博伊解释说,这不仅仅是拒绝向外的连接请求,Strongarm会与受害者的系统上的恶意软件进行通信。

攻击者会部署多种形式的恶意软件来作为僵尸网络的一部分,从而尝试与指令和控制服务器(C&C)通信或“乔装成亲友”。在处理勒索软件感染的时候,Strongarm能够阻止系统下载会加密用户数据的可执行文件。

奥博伊解释说,大多数勒索攻击的初期,攻击者通常不会在邮件里附带真正的可执行文件,但邮件或附件里通常有一个脚本,当你点击时才会下载攻击的第二部分文件,其中包括勒索用的可执行文件。

奥博伊说:“基于这些勒索软件在网络中的主机位置,我们可以阻止终端用户下载这些可执行文件”。

奥博伊解释说,如果用户点击了邮件中的恶意链接,Strongarm便会与用户系统上的恶意软件进行通信,并假装发送那个所请求的勒索软件。但事实上,这只是一个无害的文档。

从布防的角度来看,Strongarm有几种不同的方式。一种方法是设置Strongarm为路由器或在微软活动目录服务器的DNS递归解析器。通过新的全天候防御功能,Strongarm可以设置为独立工作站或移动端app的解析器。

奥博伊指出,从整体来看,公司很少会发现复杂的移动端恶意软件。Strongarm在移动设备上的主要用途是保护用户免受潜在的钓鱼邮件攻击。

奥博伊的公司使用基于DNS的方式来保护用户免受风险,但这一模式却并非完全为他们首创。思科2015年耗费6.35亿美元收购的OpenDNS也使用DNS来提供安全保障。

“让我们脱颖而出的是我们和被感染系统上的恶意软件的通信能力,我们对受害用户的专注,以及在糟糕透顶的情况下仍为他们提供方案和建议的努力。”

奥博伊谈到2017年的构想,他表示计划进一步拓宽Strongarm平台的业务范围,为企业提供更多的网络可见性。

奥博伊说:“2017年年初,我们打算推出新功能:通过多种不同的方式实现对网络更深层次的洞见。

时间: 2024-10-12 16:51:24

用DNS黑洞阻断恶意软件的相关文章

企业如何抵御利用DNS隧道的恶意软件?

恶意软件编写者开始使用DNS请求进行数据渗透,那么,这些攻击的工作原理是什么,以及抵御它们的最佳做法有哪些? Nick Lewis:多年来,高级攻击者一直在利用DNS隧道.ICMP隧道等进行数据渗透.基于他们取得的成功,很多其他攻击者也开始采用这种技术,让这种技术逐渐普遍.DNS通常也被允许出站连接到互联网,而不需要进行过滤,这让攻击者可以利用它来从受感染网络渗出数据. DNS隧道通常用于已经受感染的计算机,它会编码恶意DNS域名中少量数据.受感染的计算机可以在恶意域名和/或使用攻击者控制的DN

实现大规模中间人攻击的核武器:DNS劫持

现代社会,攻击者通过受害者访问网页的行为反复劫持银行账户是可行的.用不着浏览器漏洞利用,也看不到任何警告.对网络罪犯而言,这些攻击又廉价,成功率又高. 对头,这里所说的攻击就是DNS劫持.DNS劫持是受害者DNS请求被拦截并返回虚假响应的一种攻击类型.这种攻击能在保持URL栏不变的情况下,重定向用户到另一个网站. 举个例子,如果受害者访问 wf.com (美国富国银行集团),DNS请求可能会被发送到攻击者的DNS服务器,然后返回攻击者用以记录登录数据的Web服务器地址. 2010年以来,通过DN

Kelihos荣升恶意软件之王

本文讲的是Kelihos荣升恶意软件之王,2017伊始,恶意软件版图发生了一系列变化,Kelihos僵尸网络成功登顶,而Conficker蠕虫滑落第四. 8岁的Conficker在去年一直是最活跃恶意软件家族之一,虽然不像其他威胁一样是新闻头条常客.不过,2015年,该恶意软件曾短暂进入公众视线焦点--在安全研究人员发现其感染了警察的随身摄像头之后. Check Point 最新的威胁报告显示,Conficker目前是最活跃恶意软件排行榜上的第四名,前三甲分别为:Kelihos.HackerDe

科普知识:什么是攻击隐写术

本文讲的是科普知识:什么是攻击隐写术, 前言 隐写术是以隐藏格式发送数据的做法,因此这些发送的数据都会伪装成各种形式."隐写"一词是希腊语στεγανό和γράφειν的组合,στεγανό的意思是"覆盖,隐藏或受保护",而γράφειν的含义是"graphein",意思是"写作". 与隐藏秘密消息的密码术不同,隐写术是对传达的消息进行隐藏.隐写术的概念于1499年首次引入,但这个想法的出现其实在古代就有了,比如在罗马帝国,那

安全云网关:利用互联网对抗网络攻击

本文讲的是 :   安全云网关:利用互联网对抗网络攻击,  网络攻击与互联网采用了相同的方式,利用域名系统(DNS)来分布恶意软件.控制僵尸网络和收集登录信息.随着云计算服务.BYOD和远程办公的增加,攻击面已经超越了传统的企业网络边界. 这种设备和网络的多样性创造了一个环境,企业必须容纳在任何地方漫游的任何设备.然而,现在的安全平台无法应对这样的情况.这催生了新的网络安全平台:安全云网关(Secure Cloud Gateway,SCG),安全云网关利用基于DNS的基础来提供更广泛的安全性.提

《网络空间欺骗:构筑欺骗防御的科学基石》一3.4 隐蔽微积分

3.4 隐蔽微积分 本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一3.4 隐蔽微积分,隐蔽算法通过结合攻击者使用的特定恶意软件模型和防御者的检测能力得出隐蔽性度量.特定恶意软件的隐蔽性是指无法由恶意软件的可观测量和防御的警报逻辑,或者等效的隐蔽性框图测量的概率.假设攻防双方能够度量和评估攻击者使用恶意软件生成的可观测量.这个假设取决于所寻求的态势感知是属于防御者的还是属于攻击者的. 防御方虽然能够意识并修改他们的探测器规则,然而,鉴于这些系统的复杂性以及由于误报造成的停机时间所带来的巨大成本消

Palo Alto Networks:经历了点与线的防护,是时候进行“平台化”了!

日历已经翻向了2016,网络安全的话题仍是持续高热,网络安全形势不断变化的同时,网络安全防护技术也在不断翻新跟进,"下一代安全"的理念层出不穷,大家始终统一的想法就是变革,那么作为下一代安全理念的提出者,Palo Alto Networks又是如何解读这一理念的呢?在新的一年里又是如何对抗日益严峻的网络安全问题的呢? 基于不断观察,树立明确目标 Palo Alto Networks于2005年成立,至今在全球已经有很多像联想这样的客户了,紧跟趋势.顺势而为是其能长久立足于不断变化的网络

恶意软件横行无忌 DNS“功”不可没

在互联网全球化进程日益加快的今天,数据和网络基础设施已经成为企业或组织的核心,员工.合作伙伴和客户之间的联系.重要的业务进程都越来越依赖于互联网的支撑,而提供IP地址和域名转换的DNS系统,是实现网络应用必不可少的前提,对确保企业互联网化运作可谓功不可没. DNS作为网络基础设施的一个根本部分,关系到企业的生产力,但正是因为DNS应用的这种普及性和不可替代性,它又是一个主要的攻击途径.虽然很多企业正在全力以赴地应对网络安全威胁,以期能检测和规避常见及专业的网络攻击,但遗憾的是,大多数企业并没有对

无文件恶意软件采型用DNS作为隐秘信道

本文讲的是无文件恶意软件采型用DNS作为隐秘信道,DNSMessenger是PowerShell脚本多阶段威胁,采用DNS作为与攻击者双向通信的信道. 针对性攻击已经脱离了传统恶意软件,转向更隐蔽的技术.这些技术滥用标准系统工具和协议,其中一些还并非总能被检测到. 最近的例子,是名为DNSMessenger的攻击.思科系统Talos团队分析了该攻击,发现其投放方式比较老套,就是用网络钓鱼邮件附带恶意Word文档. 该文档被打开时,会伪装成英特尔旗下迈克菲杀毒软件的"受保护文档",要求用