失陷主机检测方案(DNS)

2021-12-13 21:09:57

 

CnC威胁情报和DNS日志结合进行检测是一种理想的情报应用方案。相对于利用上网行为日志或web代理数据的方案 ,DNS方案可以发现更多攻击者采取逃避措施后的攻击事件,如:使用非Web协议,使用非标准端口,非攻击时段将域名指向127.0.0.1,非攻击时段CnC临时下线等。以上情况下,或者因为上网行为产品部署位置没有对应的应用层流量,或者因为相关应用层协议超出了其解码分析的范围,最终结果是无法发现攻击者的踪影。

DNS威胁分析云(简称分析云)方案就是利用云计算的强大的存储、计算能力,将DNS日志和CnC威胁情报结合在一起的产物。

可以采用多种方式上传DNS日志,在已有的DNS服务器上进行日志功能配置来发送日志到分析云;或者在网络出口与DNS服务器位置旁路部署微步在线的网络传感器, 通过传感器收集DNS流量生成日志并上传到分析云中。任何一种方式都能简单、快速的进行部署,无需修改网络拓扑。


14.png

 DNS威胁分析云收到上传的日志后,针对主机IP试图访问的域名和CnC威胁情报做匹配,如果命中威胁情报将会向用户指定的邮箱地址发送报警,通知用户网络中发现失陷主机。用户登录到分析云的Web界面上查看详情,即详细的上下文。如:失陷主机IP、连接时间、尝试解析的CnC域名、CnC所属恶意家族或攻击团伙,以及进一步的攻击目的、攻击方法、传播方式、参考链接等,都可以来在云端得到相应的信息。用户可以利用这些信息轻松决策如何遏制、清除已经渗透进内部的攻击者。

DNS分析云不仅提供实时的检测能力,还可以提供回溯分析功能。在用户允许的情况下,分析云会对上传的DNS日志进行长期存储,每当有新的威胁情报被推送到分析云时,都会根据威胁情报提供的回溯时间信息,对存储的日志进行回溯分析,以发现之前已经存在但未被发现的失陷主机。当前,一次攻击中黑客往往会使用多个CnC服务器(目的包括:区分不同功能的CnC、提供更强的反检测或反溯源能力、转售CnC的控制权等),使用回溯检测能够提供更强大的检测发现能力,由已知见未知。

分析云还将提供结合机器和人共同智能的异常分析能力,利用威胁情报积累、掌握的攻击者使用CnC域名的战术特点,结合机器智能通过历史的DNS数据行为建模发现的异常,综合分析发现特定的、有针对攻击的CnC情报。这些情报会由云端专业的安全分析师团队进行进一步的分析、确认,并补充更多的上下文信息,并及时提供给使用者。

通过DNS监控、发现内部的失陷主机,已经是业界公认行之有效的方案,国际厂商也纷纷推出此类产品或功能,如Paloalto、OpenDNS、Infoblox等。微步在线的“DNS威胁分析云”弥补了国内安全行业此方面的空白,为企业建设更完善的安全体系提供了一个新的方法。

  

     

友情链接: 工信部 网信办