安全专家称恶意软件使用DNS来避免检测

日期:2012-3-8翻译:邹铮来源:IT168

恶意软件   DNS   防火墙   服务器   

    为期一周的RSA2012大会已经落下了帷幕,但是却给我们留下了很多有价值的内容。在RSA大会上,有安全专家称,大多数公司对于使用DNS作为恶意软件的命令和控制通道都有些招架不住,通过DNS接收攻击者指令的恶意软件数量预计将增加,而大多数公司目前还没有对这种活动进行扫描。

  攻击者使用很多渠道与他们的僵尸网络进行通信,从传统的TCP、IRC和HTTP到不常见的Twitter feed、Facebook留言墙,甚至还有Youtube评论。通过这些通道的大多数恶意软件流量都可以被防火墙或者入侵防御系统检测到和阻止。

  然而,对于DNS的情况并不是如此,攻击者正是利用了这个优势,Counter Hack Challenges创始人兼SANS研究员Ed Skoudis在RSA大会上关于新攻击技术时谈到这一点。

  DNS协议通常用于精确关键功能:将主机名翻译成IP地址,反之亦然。正因为此,DNS流量不会被流量监测解决方案过滤或者检查,并且允许自由地通过大多数网络。

  当DNS查询从一台DNS服务器被传递到另一台,在它们到达各自域的授权服务器之前,网络级IP阻止列表都不能阻止它们。

  Skoudis已经发现近日两起大规模数据泄露事故(导致数百万账户泄露)就是涉及这种通过DNS响应接收指令的恶意软件。他预计在未来几个月将会有更多攻击者采用这种隐形技术来发动攻击。

  Skoudis表示,被感染的计算机甚至不需要有出站连接。只要它能够通过本地DNS服务器(执行递归查询)解决主机名,它就可以与攻击者通信。

  Skoudis称,对所有通过本地服务器的DNS查询进行日志记录是不切实际的,因为这会导致严重的性能问题。然而,使用网络嗅探器来定期捕捉样本进行分析可以是一个解决方法。

  网络管理员应该查找包含怪异名称和编码数据的查询或者响应,然而,攻击者可能会将响应分解成较小的块。

  每隔几分钟就出现相同的查询也可能是DNS命令和控制活动的迹象,因为被感染计算机会定期检查新命令。

  网络管理员可以利用一些工具(例如DNScat)来模拟非标准DNS流量,并制定检测策略。通过DNS服务器来传递流量并不是新技术,但是可能会有越来越多的攻击者开始使用这种技术来规避检测,尤其是在企业网络,因为他们可以尽可能的隐藏自己。

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

病毒/蠕虫/恶意软件>更多

相关推荐

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心