安全專家稱惡意軟件使用DNS來避免檢測

為期一周的RSA2012大會已經落下了帷幕，但是卻給我們留下了很多有價值的內容。在RSA大會上，有安全專家稱，大多數公司對於使用DNS作為惡意軟件的命令和控制通道都有些招架不住，通過DNS接收攻擊者指令的惡意軟件數量預計將增加，而大多數公司目前還沒有對這種活動進行掃描。

　　攻擊者使用很多渠道與他們的僵屍網絡進行通信，從傳統的TCP、IRC和HTTP到不常見的Twitter feed、Facebook留言牆，甚至還有Youtube評論。通過這些通道的大多數惡意軟件流量都可以被防火牆或者入侵防御系統檢測到和阻止。

　　然而，對於DNS的情況並不是如此，攻擊者正是利用了這個優勢，Counter Hack Challenges創始人兼SANS研究員Ed Skoudis在RSA大會上關於新攻擊技術時談到這一點。

　　DNS協議通常用於精確關鍵功能：將主機名翻譯成IP地址，反之亦然。正因為此，DNS流量不會被流量監測解決方案過濾或者檢查，並且允許自由地通過大多數網絡。

　　當DNS查詢從一台DNS服務器被傳遞到另一台，在它們到達各自域的授權服務器之前，網絡級IP阻止列表都不能阻止它們。

　　Skoudis已經發現近日兩起大規模數據洩露事故(導致數百萬賬戶洩露)就是涉及這種通過DNS響應接收指令的惡意軟件。他預計在未來幾個月將會有更多攻擊者采用這種隱形技術來發動攻擊。

　　Skoudis表示，被感染的計算機甚至不需要有出站連接。只要它能夠通過本地DNS服務器(執行遞歸查詢)解決主機名，它就可以與攻擊者通信。

　　Skoudis稱，對所有通過本地服務器的DNS查詢進行日志記錄是不切實際的，因為這會導致嚴重的性能問題。然而，使用網絡嗅探器來定期捕捉樣本進行分析可以是一個解決方法。

　　網絡管理員應該查找包含怪異名稱和編碼數據的查詢或者響應，然而，攻擊者可能會將響應分解成較小的塊。

　　每隔幾分鐘就出現相同的查詢也可能是DNS命令和控制活動的跡象，因為被感染計算機會定期檢查新命令。

　　網絡管理員可以利用一些工具(例如DNScat)來模擬非標准DNS流量，並制定檢測策略。通過DNS服務器來傳遞流量並不是新技術，但是可能會有越來越多的攻擊者開始使用這種技術來規避檢測，尤其是在企業網絡，因為他們可以盡可能的隱藏自己。