在过去的15多年中,威胁行为者已经开发出了几种有趣且聪明的技术来滥用DNS(域名服务)协议。他们的一些技巧(例如DNS隧道)因其轻松绕过防火墙的能力而臭名昭著。
在本文中,我想强调一下Nozomi Networks实验室小组最近发现的有关DNS协议新滥用的趋势。这种现象已经在影响企业网络,并且为将来出现重大威胁打开了大门。我们敦促安全团队了解这种新的威胁情报,并集中监视其网络中与易于滥用的DNS解析器相关的流量。
Nozomi Networks Labs发现了DNS协议的新滥用,DNS协议是“互联网电话簿”的关键部分。非常规技术为将来面临重大威胁打开了大门。
利用区块链技术将域名映射到IP地址的方案已有数年的历史了。在这些实现中,区块链充当存储实际映射的数据库。
该域名与常规ICANN管理的DNS域之间的主要区别在于,没有中央机构可以阻止给定域的注册或更新。通过发行参考区块链中包含的交易,用户可以独立注册任何可用域或更新其状态。
我们已经看到恶意运营商如何尝试通过快速通量和域生成算法等技术滥用DNS来管理其基础结构。我们还知道,选择使用域生成算法抵消僵尸网络的技术是在给定的时间内编译完整的域列表,并与相应的注册表操作员共享该列表。这创建了一种集中式的方式来阻止尝试注册恶意域。
Namecoin是基于比特币的区块链,最早是在2011年普及了基于区块链的域名解析概念的项目。在这种情况下,IP解析的名称存储在区块链中,而不是DNS区域中。因此,想要知道bitcoin.bit特定Namecoin域的地址的客户面临两种选择。首先是下载整个区块链并保持最新。另一种选择是连接到一个特殊的DNS服务器,该服务器知道某些域的解析过程(例如.bit)应通过与典型.com域不同的渠道来执行。
OpenNIC是一个有趣的DNS社区项目。其目标是为传统的顶级域名注册机构提供替代的名称解析方案。令人遗憾的是,就像通常会被滥用的互联网基础设施服务一样,有一些恶意软件利用OpenNIC来解决恶意Namecoin域的情况。
结果,支撑OpenNIC的基础架构部分最终进入了黑名单,给托管服务的提供商带来了预期的后果。OpenNIC最终决定在2019年7月放弃对Namecoin域的支持。如今,域背后的区块链Emercoin也存在类似情况.bazar。
从概念上讲,Emercoin对恶意运营商而言就像Namecoin。也就是说,域名可以与其他任何成为区块链一部分的交易发行者一样以匿名级别注册。
在过去的几个月中,我们已经看到.bazar了一个被恰当地称为Bazar loader / Bazar后门的恶意软件所使用的域。它通常部署在感染链中,最后以激活Ryuk(一种以医疗保健设施为目标的勒索软件)结束。
人们看到Bazar加载程序/ Bazar后门依赖OpenNIC来解析.bazar域。考虑到滥用Namecoin的方式,我们希望Emercoin在不久的将来会有所发展。
区块链一个有趣的特性是它们是仅追加的数据结构。因此,与特定域关联的任何IP始终可供有兴趣追踪特定威胁的安全研究人员检查。
安全团队应注意,.bazar在部署Ryuk勒索软件的感染链中正在利用域。
DNS over HTTPS(DoH)是最近引入的协议,它通过HTTPS解析域名,而不是使用典型的基于udp / tcp端口53的方案。自推出以来,DoH引发了一些争议。本博客的目的不是解释这些立场背后的理由,而是强调恶意操作员对协议的使用。
DoH显然需要兼容的客户端和服务器。从协议的草案开始起,一些主要的浏览器就一直在实现该协议的客户端部分。今天使用的最受欢迎的公共解析器是Cloudflare和Google提供的解析器。值得注意的是,二月份,Firefox开始交付,默认情况下,美国境内所有用户都使用DoH,而Cloudflare被设置为默认解析器。
DoH的实际效果是将DNS解析的有效负载封装在客户端和解析器之间建立的TLS会话中,因此将其内容隐藏给被动网络观察者。
Huntress Labs的安全研究人员最近注意到,有一种恶意软件滥用DoH来检索属于恶意基础结构的其他主机的IP。TXT资源记录旨在模仿真实的DKIM记录,但包含编码的IP地址。在这种情况下,如果我们在网络级别隔离解决过程,那么就会出现恶意软件和Google公共解析器之间的TLS连接,尽管考虑到威胁的综合行为,其他一些异常现象也将脱颖而出。
DoH有可能打破在几种环境中理所当然的假设,即透明地检查遍历网络的所有DNS流量。
安全团队应提前仔细评估这种可能性,并制定相应的计划。
上面显示的是通过Google公共解析器Web界面解决的恶意TXT DKIM记录的解决方案。
如上所示,恶意软件开发人员正在尝试新颖的技术来隐藏自己的活动,经常背负着可以在短期内占上风的新技术。在这种情况下,安全团队利用集中检查DNS流量的技术至关重要。如果检测到与易于滥用的解析器有关的通信(例如Emercoin或DoH),则应发出警报并采取防御措施。
毋庸置疑,一个健康的网络需要使用最新的威胁情报进行持续监控 -确保您的情报确实存在。
1 DNS或域名服务是一种将URL转换为IP地址的应用程序,实际上就是Internet的“电话簿”。
