DNS har missbrukats för att underlätta skadlig aktivitet. Det är allestädes närvarande, pålitligt och ofta inte korrekt övervakat eller filtrerat. DNS är också det bästa sättet att abstrahera en tjänst från en specifik IP-adress. Det är därför de flesta skadliga program använder protokollet för att starta en attack. Mozart, skadlig programvara som upptäckts av MalwareHunterTeam, är det klassiska fallet med en motståndare som använder DNS för kommando och kontroll. Dess författare(r) använder/använder TXT-poster för att returnera kommandon till installerad skadlig programvara. För en fullständig uppdelning, packar Vitali Kremez, chef för SentinelLabs, upp processen på sin blogg.
Om författaren Andrew Wertkin är BlueCats strategichef. "Anledningen till att det är coolt", säger Farsights vd Paul Vixie i en video med mig om ämnet, "är att DNS fungerar. Du ställer en fråga från var som helst och du får svaret alla borde få." Författarna Malware-företag satsar på att organisationer ser inte vad som är i sikte. Jag gillar att kalla DNS för en idiot, i den meningen att den gör ett bra jobb med att svara på frågan efter bästa förmåga, utan någon form av partiskhet. Därför kan DNS vara en del av vilken kommando- och kontrollarkitektur som helst.
Hur Mozart fungerar
Mozart upprättar en direkt kommunikationslinje mellan en infekterad klient och din server. Den gör detta genom att förvränga IP-adressen till en DNS-server som en infekterad klient löser, kringgå centrala DNS-servrar, policyregler och övervakning. Kommandon som sedan skickas mellan den skadliga servern och den infekterade enheten är dolda i DNS TXT-poster.
Otillräckliga blockeringslistor
Mozart har en krypterad DNS-server IP-adress. En strategi som enbart bygger på att konfigurera en brandväggsregel för att blockera IP-adresser kopplade till Mozart eller annan liknande skadlig programvara (eller några misstänkta domäner), är inte den rätta. tillvägagångssätt I det här fallet konfigurerar du ditt säkerhetsteam för en utökad del av mullvad, eftersom skadlig aktivitet kan startas på en ny IP-adress utan slut. I allmänhet är det osannolikt att din lista över kända dåliga domäner och IP-adresser kommer att hålla jämna steg med nya hot. Din strategi bör ta hänsyn till detta.
Hur man använder DNS för att skydda mot skadlig programvara
Se till att du kan inspektera allt: Använd Mozart som en påminnelse, med verkliga konsekvenser, för att införliva bästa DNS-praxis i din säkerhetsställning. För en sak, låt inte DNS-trafik kringgå dina företags DNS-servrar (och därmed policy- och övervakningsapplikationen). Blockera all direktåtkomst utanför port 53 förutom angivna företags DNS-servrar. Om du tvingar alla dina företagsnamnsresolutioner att gå igenom dina resolutioner kommer du att bibehålla din förmåga att övervaka trafik och tillämpa policy. Specifikt säkerställer det att DNS-förfrågningar endast kan riktas till offentligt registrerade domäner, snarare än servrar som är värdar för sig själv som vad Mozart har konfigurerat. Jämför med baslinje för att härleda kontext Begäranden om textlagring är vanliga för flera specifika användningsfall. Förutom att helt enkelt övervaka frågor till områden som är kända för att vara dåliga, nya eller skadliga, kan och bör företag leta efter anomalier i uppmätta baslinjer. Om du till exempel kände till den grundläggande procentandelen av TXT-poster som vanligtvis efterfrågas av en Mac- och Microsoft-klient, skulle du lättare kunna upptäcka avvikelser som orsakas av skadlig programvara som bearbetar TXT-förfrågningar. Dessutom, om du känner till de typiska användningsfallen för TXT-poster i affärssammanhang (virusinspektion, prestandaövervakning, frågeintegrering, etc.), är det lättare att upptäcka vad som kan vara onormalt. med granskning av ansökningar. Företagsenheter har ett mycket regelbundet mönster när det gäller TXT-förfrågningar. Naturligtvis varierar detta beroende på antivirusmedlet och några andra faktorer, men i allmänhet är det ganska förutsägbart.
Rådet
Det här tipset om anomalidetektering gäller inte bara TXT-poster. Det gäller även för postutbyte, zonöverföring eller andra speciella resursposter. Det finns till exempel ingen anledning för en IoT-enhet i nätverket att begära e-postservrar. IoT-enheter, särskilt specialbyggda som POS-maskiner, har också en förutsägbar uppsättning domäner som de frågar efter. Att fastställa en baslinje för varje typ av IoT-enhet och övervaka avvikelser är en annan strategi för att så tecken på kompromiss. Du kan också överväga att helt blockera förfrågningar från IoT-enheter utanför din typiska pool. Titta också noga på namnen på förfrågningarna. DNS-frågenamn kan förråda datatunnlingsaktivitet (som kan bädda in hårdkodade strängar direkt i frågenamn) och signalera om domängenereringsalgoritmer arbetar för att kringgå deras blockeringslistor. Slutligen kan svaren på frågorna, om de etableras vid baslinjen, också vara en rik signal för att identifiera DNS-kapning. Eftersom kapning innebär att en motståndare går in i DNS-upplösningskedjan och omdirigerar klienter till destinationer som tillhör en illvillig aktör, kan en plötslig förändring av svar eller svarstyp på en rutinförfrågan indikera en kompromiss. dig att upptäcka alla möjliga tecken på skadlig aktivitet, såsom kommando och kontroll, tunnling, exfiltration, förgiftning, hacking, etc. Mozart må ha varit kreativt skapad, men skadlig programvara spelar på sårbarheter som har funnits (och har utnyttjats) i företagsmiljöer i flera år.