利用态势感知发现DNS隐蔽隧道后门

设备/系统支持：态势感知设备

防护风险：用户防护和检测攻击者建立的隐蔽隧道，从而及时发现攻击入侵行为。

背景：

在hvv入侵过程中，攻击者在开始与被控制主机通信时，通过利用DNS、ICMP等合法协议来构建隐匿隧道来掩护其传递的非法信息，这类攻击称为隐匿隧道攻击。黑客常用的DNS隐匿隧道攻击指的是DNS隧道是将其他协议的内容封装在DNS协议中，然后以DNS请求和响应包完成传输数据(通信)的技术。其中DNS隧道应用广泛的原因如下：

1、DNS作为Internet的核心基础服务，大部分防火墙和入侵监测设备很少会过滤DNS流量。

2、DNS协议中TXT、CNAME记录类型，可以将恶意有效载荷存储在不同资源记录中。这两点在应用DNS协议实现的隐蔽信道技术中起到了支撑作用，从而可以利用它建立起 C&C 通信，进行命令与控制。

思路：互联网接入区采用全流量覆盖的态势感知设备，正常DNS会话比较简短,随着一次DNS解析任务结束而结束。DNS隧道木马的会话随着木马的生命周期结束而结束,但在整个木马的生命周期里会向CC服务器发送心跳包,传输信息,资源文件等行为。CC服务器也会发送控制指令。所以在DNS隧道木马的会话中DNS报文数量大。

而且在正常的DNS流量中。A记录类型的流量占20%-30%,CNAME记录为38%-48%,AAAA记录占25%,NS记录只有5%,TXT记录只有1%-2%。然而为了获取更高的带宽,一部分的DNS隐蔽信道工具如Iodine。在默认配置下会使用TXT或NULL等不常用的记录类型。

而快速定位和甄别异常DNS流量，往往需要人机共智来协同作战。依靠DNS流量与威胁情报库中的域名、IP、URL进行匹配，看谁再访问恶意地址，来定位主机进行C&C通信。

效果：快速定位攻击者入侵痕迹，定位失陷主机。

实现方法：

全流量威胁检测态势感知设备主要靠DNS流量与威胁情报库中的域名、IP、URL进行匹配，看谁再访问恶意地址，来定位主机进行C&C通信。内网中部署通常是用来检测蠕虫、挖矿病毒的。但在越来越多的攻防演习中，随着攻击者越来越多的通过DNS隐蔽隧道和CDN云函数等方式进行C&C通信，防守方通过DNS监测的方式来精准定位攻击者，也未尝不是一招妙棋。

如何分析DNS隧道通信？

1.一般正常应用不会使用隧道通信。只有如杀毒软件云查杀、网站广告统计、部分公有云等才会使用。特别是下班时间，发现数个终端持续对某DNS域名进行解析，就要考虑是不是已失陷了。

2.查看域名是否为知名域名。拿到微步在线等在线情报平台进行查询，信誉差的可证实已失陷。查不到这查看域名的whois，为个人注册的基本为可疑了，配合杀软查杀即可。

3.查看DNS查询日志记录，看目的IP是否为通用的DNS服务器（如8.8.8.8），非通用IP拿到微步在线进行查询，信誉差的基本可证实已失陷。

如何辨别区分真实攻击流量和蠕虫挖矿木马？

1.一般采用云函数和CDN的方式进行C&C通信，域名被在线平台标记可能存在滞后性，需要防守方及时关注DNS服务器和态势感知设备等，在攻防演练和实际环境中多关注下班时间异常DNS解析，及时通过添加恶意域名黑名单等方式阻断访问。

2.攻击者往往喜欢在夜晚进行内网渗透，通过结合具有内网横向移动的终端主机流量，在态势感知设备上和终端上定位其通信域名信息，也可帮助快速定位攻击者使用的DNS信息，配合联动封锁即可一网打尽。结合流量设备也能够快速筛选出已失陷主机。

现在的感知设备都具有自主学习功能，以威胁情报为检测设备赋能，对于检测类设备提供C&C域名、DGA域名和Sinkhole域名情报，可有效支撑在域名层面检测恶意软件的行为。

总结：针对DNS的及时感知可以有效阻断攻击者的攻击行为，同时借助全流量覆盖还可以取证统计到失陷主机和区域，便于确定入侵入口。在技术更迭越来越快的今天，针对DNS的及时监测已经变得和监测IP和攻击流量同等重要了。

原文始发于微信公众号（军机故阁）：利用态势感知发现DNS隐蔽隧道后门