DNS Sinkhole 流的说明：

1. 在组织中，用户正在查看具有更多广告、弹出窗口、CDN 内容等的新闻网站。
2. 突然出现一个弹出窗口，以低成本购买沙发。用户急切地单击了弹出窗口。
3. 在这里，弹出窗口是由攻击者创建的，用于通过有效负载注入恶意软件，以启动与受感染服务器（即僵尸网络）的 c2c 通信。
4. 有效负载已安装在计算机上，并且通过域“abc.com”的 c2c 通信从浏览器启动。
5. 查询 “abc.com” 将向组织的 DNS 服务器移动。
6. 在 DNS 服务器中，域“abc.com”的实际 IP 将被替换为假 IP，即Sinkhole IP。Sinkhole IP 被分配给一个名为 Sinkhole 服务器的 DNS 服务器，所有 c2c 域、DGA 域、最近的 IOC 都将每天更新。由于通信被重定向到分配给 Sinkhole 服务器的假 IP。
7. 在这个阶段，DNS Sinkhole 服务器将充当防御者，停止 c2c 通信。

缺点：

尽管 Sinkhole 是一个很好的防御系统并且易于执行，但随之而来的是更多的风险和问题。

• Sinkhole 可以防止与黑洞的恶意连接，但 Sinkhole 不会阻止它执行并传播到其他机器。它无法减轻攻击，并且在 Sinkhole 的帮助下，无法从受感染的机器中删除恶意软件。
• 在将 IOC 列表插入 Sinkhole 服务器之前，必须提前分析 IOC。因为 IOC 将从开源收集，并且可能包含误报。
• 有时，非恶意 IOC 可能会被标记为恶意，具体取决于其行为。这可能会阻止合法连接，从而在组织中造成大问题。
• 如果 Sinkhole 服务器在组织内维护，则应隔离服务器或在 DMZ 中。这样攻击者可能就不知道缓解措施。否则，攻击者可能会尝试执行反向 DNS 来更改服务器中的 IP。
• 在维护外部 Sinkhole 服务时，IP、用户代理详细信息等组织详细信息将记录在第三方服务器中，这就像将组织的所有详细信息提供给不信任的服务器一样。这在大多数司法管辖区被视为犯罪行为。
• 如果向外部 Sinkhole 服务器发起 c2c 通信，则大多数组织网络都不知道它。因此，一些 Sinkhole 提供商会尝试通过挖掘连接发起的 IP 来通知受感染的机器用户。用户看到这些奇怪的活动会感到恐慌。

DNS Sinkholes 场景

DNS Sinkholes 在几个案例中被用来缓解不同的恶意软件活动。它可以作为消除恶意软件感染媒介传播的主要工具，也可以用来断开 C&C 连接。

使用 DNS 沉坑的情况之一是臭名昭著的 CryptoLocker 恶意软件在野外被感染时。CryptoLocker 恶意软件是一种勒索软件，它通过使用随机生成的密钥加密用户的文件来工作。然后它会将解密密钥发送到 C&C 服务器，通常情况下，具有固定 IP 或名称的 C&C 服务器很快就会被当局关闭。为了解决这个问题，CryptoLocker 以相当高的比率使用 C&C 寄存器的随机域名。域名是使用恶意软件知道的伪随机算法生成的。当CryptoLocker在受害者的计算机上执行时，它会连接到其中一个域名以联系C&C。

在这种情况下，恶意软件知道域生成算法，并且通过对代码进行逆向工程，可以提前预测域名。卡巴斯基从这些域名中“沉没”了三个域名，为期三天。使用他们的三个域名，大约拯救了 1/1000 的 CryptoLocker 受害者，并且他们能够从世界各地收集感染的统计数据。

安全分析师的努力：

作为安全分析师，我们应该意识到这些缺点并需要根据它们采取行动。安全分析师需要注意以下几点：

• 对组织的基础设施和网络组件有很好的了解。
• 集成更多安全工具，以根据声誉快速捕获不需要的恶意通信，以不信任网站。
• 在 SEIM 中创建规则，以便在一分钟内启动更多查询或针对 DGA 域启动更多查询时收到通知。每天收集 IOC 并将其上传到查找列表，并设计一个规则来捕获是否向查找列表中保存的 IOC 发起任何通信。
• 在 AWS 等安全设备中启用规则：用于 Sinkhole IP 的 GuardDuty。
• 尝试找出通信的确切来源，以防止其传播到其他计算机，并检查它是否已经打开。

结论：

Sinkhole 技术已经存在了一段时间，已被用于防止与僵尸网络的恶意连接。该技术既有优点也有缺点。这一切都掌握在安全分析师的手中，以积极地绘制它。因此，我们需要了解它背后的根源，并以更好的方式将其转化为有益的。

原文始发于微信公众号（安全狗的自我修养）：DNS 沉洞可以防止恶意软件吗？它是如何运作的？