Skip to main content
Dark background with blue code overlay

博客

DNS:轻而易举窃取数据的方法?

Jim Black

Written by

Jim Black

May 27, 2022

Jim Black 是 Akamai 企业安全业务部的高级产品营销经理。他的整个职业生涯都专注于电信、移动和安全领域的技术,曾经担任过制造、客户支持、业务发展、产品管理、公共关系和营销领域的各类职位。

域名系统 (DNS) 请求是互联网上几乎一切活动的起点,因此攻击者利用 DNS 协议也不足为奇。DNS 滥用的方式不计其数,包括用于分布式拒绝服务攻击的 DNS 放大,以及将良性 DNS 请求重定向到恶意域的 DNS 劫持。更高级、更有针对性且在网络中发生频率更低的是 DNS 渗透。 

高吞吐量 DNS 隧道与低吞吐量 DNS 渗透

虽然高吞吐量 DNS 隧道和低吞吐量 DNS 渗透所用的基本技术大体相似,但这两类攻击之间存在显著差异。就相似之处而言,两者都使用 DNS 协议来传输与 DNS 查询无关的数据,通过将其他数据附加到 DNS 请求来完成传输。两者都利用了大多数企业由于 DNS 流量的关键作用而不会加以干扰这一事实。但是,相似之处仅止于此。

在执行高吞吐量 DNS 隧道时,通向一个特定域或几个域的 DNS 流量将发生显著变化;对一个域或几个域的 DNS 请求长度将增加,请求之间的时间将缩短。DNS 隧道可用于相对良性的目的(例如,绕过 Wi-Fi 付费墙)或恶意目的(例如,与命令和控制 [C2] 服务器通信)。然而,由于其特性,检测和阻止 DNS 隧道相对简单。

而相比之下,在执行低吞吐量 DNS 数据渗透时,发往任意单个域或多个域的流量都不会显著增加,请求之间的时间间隔也会延长。例如,受恶意软件感染的端点可能仅每小时唤醒一次,并向其 C2 服务器发送带有简短附加消息的 DNS 请求。如此一来,在不增加误报安全警报数量的情况下检测低吞吐量 DNS 渗透将变得极其困难。

为何攻击者喜欢利用低吞吐量数据渗透?

使用 DNS 传输数据的一大限制是 DNS 消息长度限制为 255 个字节,其中很大一部分可能被 UDP 控制消息占用。但是,如前所述,企业不愿意去干扰 DNS 流量,这通常意味着不予监控;即使实施了监控,这种监控很可能也只能识别高吞吐量隧道。 

这种情况使得利用低吞吐量数据渗透对攻击者而言极具吸引力,特别是窃取的数据极具价值时,如信用卡号码。使用低调且缓慢型方法窃取信用卡详细信息可能需要一段时间,但这种等待是值得的。

防范 DNS 渗透

低吞吐量 DNS 渗透恶意软件可能非常危险,并可能导致企业发生重大且代价高昂的数据泄露,因此 Akamai 的安全研究团队最近一直专注于更全面深入地了解该问题,以构建更有效的检测技术。这篇 文章详细介绍了这项研究的大部分内容,如果您还想更深入地了解具体情况,那么值得一读。

我们的 DNS 数据渗透检测算法源于该研究,并随着时间的推移不断增强,以提高检测速度和准确性,尽可能减少误报警报。该算法用于持续分析来自部署了我们云安全 Web 网关的客户的 DNS 流量日志。如果检测到新威胁,我们会主动提醒受影响的客户,并将与渗透相关的域添加到我们的威胁情报中,以便后续保护所有客户。

2022 年 4 月,该系统发现了一个 DNS 渗透实例,充分表明了该算法的有效性。系统在客户流量日志中识别出大量域的突发 DNS 流量,其中窃取的数据已附加到子域的请求中。真正值得关注的是,该算法在此次攻击活动的第一个小时内就检测到了攻击迹象,而且作为检测依据的子域请求相对较少:总共 1,109 个。 

显示渗透测试期间 DNS 渗透活动的仪表板。 显示渗透测试期间 DNS 渗透活动的仪表板。

在 Akamai 安全团队向客户发出检测警报后,我们得知客户一直在进行渗透测试。安全团队很高兴 Enterprise Threat Protector 如此迅速地检测到渗透行为。 

DNS 是否仍是安全盲点?

如前所述,许多企业仍然不愿意去干扰 DNS,因为存在无意中破坏互联网流量的风险。一种在没有风险的情况下了解和保护 DNS 流量的方法是部署 DNS 安全服务,该服务会查看每个 DNS 请求,并将这些请求与实时威胁情报数据库进行比较。 

这种方法意味着安全的 DNS 流量将正常进行,但恶意流量会受到阻止。至关重要的是,这还允许近乎实时地检查 DNS 日志,以识别低吞吐量 DNS 数据渗透。 

DNS 请求:Akamai 检测方法成功“捞起海中针”

Akamai 钟情于数字,我们认为相较于其他一些 Akamai DNS 统计数据,成功检测到渗透所需的 DNS 请求数量是比较值得关注的一项数据。Akamai 每天处理 7 万亿个 DNS 请求,我们的互联网安全服务主动阻止 28 亿个恶意 DNS 请求。 

换句话说,与渗透相关的 1,109 个 DNS 请求占每日 DNS 请求的 0.000000015842857% 和恶意 DNS 请求的 0.00003960714286%:真正的大海捞针式检测。

了解更多

要了解如何快速改善 DNS 流量监测能力和控制能力,以降低风险,请访问 akamai.com/zh/products/enterprise-threat-protector 注册 60 天免费试用。

 



Jim Black

Written by

Jim Black

May 27, 2022

Jim Black 是 Akamai 企业安全业务部的高级产品营销经理。他的整个职业生涯都专注于电信、移动和安全领域的技术,曾经担任过制造、客户支持、业务发展、产品管理、公共关系和营销领域的各类职位。