为期一周的RSA2012大会已经落下了帷幕,但是却给我们留下了很多有价值的内容。在RSA大会上,有安全专家称,大多数公司对于使用DNS作为恶意软件的命令和控制通道都有些招架不住,通过DNS接收攻击者指令的恶意软件数量预计将增加,而大多数公司目前还没有对这种活动进行扫描。
攻击者使用很多渠道与他们的僵尸网络进行通信,从传统的TCP、IRC和HTTP到不常见的Twitter feed、Facebook留言墙,甚至还有Youtube评论。通过这些通道的大多数恶意软件流量都可以被防火墙或者入侵防御系统检测到和阻止。
然而,对于DNS的情况并不是如此,攻击者正是利用了这个优势,Counter Hack Challenges创始人兼SANS研究员Ed Skoudis在RSA大会上关于新攻击技术时谈到这一点。
DNS协议通常用于精确关键功能:将主机名翻译成IP地址,反之亦然。正因为此,DNS流量不会被流量监测解决方案过滤或者检查,并且允许自由地通过大多数网络。
当DNS查询从一台DNS服务器被传递到另一台,在它们到达各自域的授权服务器之前,网络级IP阻止列表都不能阻止它们。
Skoudis已经发现近日两起大规模数据泄露事故(导致数百万账户泄露)就是涉及这种通过DNS响应接收指令的恶意软件。他预计在未来几个月将会有更多攻击者采用这种隐形技术来发动攻击。
Skoudis表示,被感染的计算机甚至不需要有出站连接。只要它能够通过本地DNS服务器(执行递归查询)解决主机名,它就可以与攻击者通信。
Skoudis称,对所有通过本地服务器的DNS查询进行日志记录是不切实际的,因为这会导致严重的性能问题。然而,使用网络嗅探器来定期捕捉样本进行分析可以是一个解决方法。
网络管理员应该查找包含怪异名称和编码数据的查询或者响应,然而,攻击者可能会将响应分解成较小的块。
每隔几分钟就出现相同的查询也可能是DNS命令和控制活动的迹象,因为被感染计算机会定期检查新命令。
网络管理员可以利用一些工具(例如DNScat)来模拟非标准DNS流量,并制定检测策略。通过DNS服务器来传递流量并不是新技术,但是可能会有越来越多的攻击者开始使用这种技术来规避检测,尤其是在企业网络,因为他们可以尽可能的隐藏自己。