DNS加密货币对企业威胁猎人意味着什么
在某种程度上,域名服务(DNS)攻击在世界范围内的扩散有助于提高人们对互联网“管道”中一个深层问题的认识。
DNS背后的基础结构缺乏内置安全性,使互联网用户面临风险。
域名系统安全扩展(DNSSEC)规范已进行了数十年的工作,以共同努力,以找到一种更好的方法来保护DNS,同时又要保持足够的灵活性以扩展到企业乃至更大的网络。但是,在大多数国家/地区,DNSSEC的使用一直很缓慢。
- 单击此处以了解有关ESET中DNS加密的更多信息。
也许由于对DNSSEC的成功所带来的不耐烦,一些人已经开始转向保护DNS流量的新方法,例如TLS上的DNS(DoT),DNSCrypt,DNSCurve以及最近的HTTPS上的DNS(DoH)。
当前,我们正在见证通过控制HTTPS上的DNS的安全性来争夺DNS控制权的斗争。传统上,由于DNS请求和答复都是以纯文本形式发送的,因此监督公司网络的安全运营中心(SOC)团队能够监视正在查询的域,并阻止用户访问恶意域。
纯文本DNS请求当然没有那么私密,但是DNS级别的情报一直是监督网络安全的关键数据源。
随着DoH的引入,DNS请求通过HTTPS协议进行加密,从而将其隐藏在网络防御者的视线范围之外。除了DoH的其他方面,例如隐私和对Internet的中心化控制之外,让我们讨论一下私有和公共网络的安全性如何受到影响。
对于SOC团队而言,DoH的负面影响是,它们使他们无法进行恶意软件通信,从而更容易伪装成网络中正常的HTTPS流量。正如DNS先驱Paul Vixie博士在接受ESET安全宣传员Tony Anscombe的采访中所强调的那样:
作为网络运营商……我需要查看我的用户,应用程序和设备在DNS中正在做什么,以便知道其中一个是入侵者,其中一个是恶意软件,其中一个是僵尸网络的一部分,其中之一是被污染的供应链……为了确保我的网络安全,我必须能够看到它,因此,任何与诸如HTTPS上的DNS之类的项目一起出现的人都说:“是的,我们希望网络运营商来干扰DNS操作”,他们根本不了解我的生活。
恶意软件通常通过HTTP和HTTPS与命令和控制(C&C)服务器通信,而MITER ATT&CK知识库将其识别为标准应用层协议技术。
例如,ESET Research观察到PolyglotDuke,这是后来由Dukes(APT29)在Operation Ghost中使用的新发现的下载器,从Twitter和Reddit等社交媒体服务中获取C&C URL,然后与这些C&C服务器联系以将MiniDuke后门放在受害计算机。
为了掩盖这种通信的恶意性质,公爵通过使用来自不同语言(特别是日语,切诺基和中文)的字符集对C&C URL进行编码,因此ESET将此下载程序称为“ PolyglotDuke”。
如果恶意软件可以将其通信隐藏在DoH之后怎么办?实际上,Proofpoint的研究人员发现了PsiXBot恶意软件的新的色情交易模块更新,该更新使用Google的DoH服务获取C&C IP地址,从而使攻击者可以将DNS查询隐藏在HTTPS后面。 Dukes和其他威胁行为者可能会扩展其工具包以使用DoH,这显然有助于将来在IT管理员眼中隐藏C&C通信。
DNS加密货币虽然带来一些好处,但会禁用您的某些保护。这主要影响基于网络的安全解决方案,从而强调了拥有高质量的多层端点安全解决方案的重要性。
建议SOC团队及时了解Mozilla,Google和其他公司为提供DoH所做的最新努力。
这样,IT管理员可以更新网络流量检查设备的软件和配置,以阻止对新的DoH服务的访问。
例如,谷歌通过某些稳定地址提供DoH,管理员可以在防火墙级别对其进行阻止。
但是,阻止或禁用已知的DoH服务只是检测公司网络中恶意使用加密货币DNS请求的第一步。
更高级的SOC团队应该使用端点检测和响应(EDR)工具,使他们能够识别和捕获看起来很恶意的DNS查询事件以及许多其他类型的事件,并调查与恶意C&C服务器的连接。
在监视来自Firefox和Chrome浏览器的DoH流量方面,SOC员工保持可见性的一种方法是在端点上安装自定义安全证书,并通过代理路由浏览器流量。
这将使您能够建立一个了解DoH的网络流量检查解决方案,可以执行HTTPS检查以进行内联解密,检查,记录等,并将任何事件转发到EDR工具以进行进一步分析。
请注意,尽管某些浏览器确实检查了固定证书,但本地安装的安全证书可以覆盖通常的检查。但是,在撰写本文时,Firefox和Chrome浏览器均未检查固定证书。
处理卫生部还有其他选择。与设置内部DNS服务器类似,企业也可以设置内部DoH服务器,以查看所有请求。
另外,由于Mozilla为Firefox浏览器提供了DoH,因此可以将其关闭。
解决DoH协议安全性问题的技术解决方案多种多样。展望未来,任何SOC团队成功的关键是要学会理解这种新协议可以提供给恶意行为者的增强功能,以及对网络安全的级联影响。
这样,可以为您的业务制定适当的有关使用DoH的安全策略,并由SOC团队实施。
本文是与ESET合作出版的。