来源:https://www.netsurion.com/articles/5-types-of-dns-attacks-and-how-to-detect-them
https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/
https://zeltser.com/c2-dns-tunneling/
https://www.crowdstrike.com/cybersecurity-101/botnets/
域名系统,简称DNS,在计算机网络中被用来将域名转换为IP地址,供计算机之间通信使用。DNS存在于几乎所有的计算机网络中;它与外部网络通信,由于它被设计为开放协议,因此很难锁定。对手可能会发现,DNS是执行恶意活动(如网络侦察、恶意软件下载、与他们的命令和控制服务器通信或从网络中传输数据)的诱人机制。因此,监控DNS流量对威胁防护至关重要。
攻击1:安装恶意软件(Malware installation)。这可以通过劫持DNS查询和响应恶意IP地址来实现。恶意软件安装的目标也可以通过将请求定向到钓鱼域名来实现。
破坏的指标:正向DNS查找拼写错误(typo squatting),域名看起来或听起来相似(例如gooqle.com);修改hosts文件;DNS缓存中毒。
攻击2:凭证盗窃(Credential theft)。对手可能会创建一个类似于合法域名的恶意域名,并将其用于网络钓鱼活动以窃取凭证。
破坏的指标:正向DNS查找拼写错误,域名看起来或听起来相似(例如gooqle.com);修改hosts文件;DNS缓存中毒。
攻击3:指挥和控制通信( Command & Control communication)。作为横向移动的一部分,在最初的破坏之后,DNS通信被滥用为与C2服务器通信。这通常包括从目标网络中的计算机周期性地对对手控制的域名进行DNS查询。响应包含可用于在目标网络中执行未授权操作的编码消息。
破坏指标:DNS信标查询到异常域,低生存时间time-to-live,孤儿DNS请求。
攻击4:网络足迹( Network footprinting)。对手使用DNS查询来构建网络地图。攻击者生活在远离地形的地方,所以开发地图对他们来说很重要。
破坏指标:大量的PTR查询、SOA和AXFER查询,对根域中不存在的子域进行DNS转发查找。
攻击5:数据盗窃(Data theft)。滥用DNS传输数据;这可以通过通过DNS查询和响应对其他协议(如FTP、SSH)进行隧道化来实现。攻击者从一台被攻破的计算机向对手拥有的域进行多次DNS查询。DNS隧道还可以用于执行命令和将恶意软件传输到目标网络。
破坏指标:大量的子域查找或查找规模大;长子域;不常见的查询类型(TXT记录)。
