勒索软件攻击急剧上升,Colonial Pipeline 攻击或 Kaseya 攻击等备受瞩目的事件占据了新闻周期的主导地位。这些攻击的频率和成本促使许多网络安全专业人员研究更强大的勒索软件保护解决方案,例如 DNS 层安全。但是您如何才能确保您的组织的安全状况尽可能有效呢?这就是我们在 Black Hat 2021 会议期间着手回答的问题:使用 DNS 层安全性来检测和阻止危险活动。
在 Cisco Umbrella,我们已经看到大量网络攻击在易受攻击的网络中上演。使用我们在研究新兴威胁(包括最近的勒索软件攻击浪潮)时收集的数据,我们的团队开发了一套解决方案,最大限度地利用递归 DNS 服务器来提高网络安全性。我们在 DNS 层安全的点播演示中介绍了其中一些解决方案,我们相信这种 DNS 层安全方法也有助于保护您的网络免受不良行为者的侵害。
你错过了我们的谈话吗?别担心——您可以在线查看录制的会话或阅读以下要点:
观察 DNS 层活动可以帮助您识别复杂的威胁
域名系统 (DNS) 允许客户端连接到网站、执行软件更新以及使用组织所依赖的许多应用程序。不幸的是,DNS 层也是许多网络中最不安全的方面之一:DNS 数据包很少受到安全协议的检查,它们很容易通过未阻塞的端口。因此,只有今天的复杂威胁(包括勒索软件攻击)倾向于在 DNS 层运行才有意义。
当然,仅仅因为大多数安全团队很少关注 DNS 层活动并不意味着您也必须这样做。事实上,您可以配置递归 DNS 服务器来收集对设计和实施专有防御算法或大规模执行威胁搜寻有用的数据。例如, DNS 解析器收集数据:
- 来自权威的 DNS 日志,这些日志可以揭示通过新部署的基础设施、BulletProofHostings 和恶意域、IP 和 ASN 进行的潜在攻击
- 从用户请求模式可以通过受损系统和命令和控制回调揭示正在进行的攻击
在数据收集方面,与 Cisco Umbrella 等生产性消费者 DNS 层安全提供商合作始终是一种选择,在我们的演示期间,我们将更详细地介绍如何配置您自己的递归 DNS 服务器以收集此数据。
了解勒索软件攻击如何发生可以帮助您预防或减轻威胁
虽然确切的战术、技术和程序 (TTP) 因场景而异,但大多数勒索软件攻击往往遵循相同的基本流程:
- 客户端导航到 Internet 上的受感染域,不小心下载了包含恶意程序的武器化文件
- 该文件启动了一个事件链,旨在在受影响的网络上建立一个后开发框架
- 恶意程序横向移动到网络上的其他计算机
- 多台计算机被勒索软件程序感染,该程序对所有关键业务数据进行加密
从 2020 年开始,大多数勒索软件攻击都在这个过程中增加了一个步骤:数据泄露。在加密之前,该程序使用 DNS 隧道将业务关键数据从客户端网络传输到威胁参与者。这使得威胁行为者可以对他们的受害者施加额外的影响力——公司发现自己面临着数据在网上泄露或出售给暗网上出价最高者的前景,而不是简单地丢失他们的数据。
更重要的是,由于勒索软件攻击可能只需要五个小时即可执行,因此检测正在进行的攻击可能很困难,除非您拥有旨在识别这些攻击的强大 DNS 层安全系统。
勒索软件攻击中使用的流行工具依赖于 DNS 层活动
早些时候,我们提到了大多数勒索软件攻击者如何利用网络管理员不保护 DNS 层活动这一事实。事实上,我们观察到一些最常见的攻击框架严重依赖 DNS 隧道,既可以在网络中立足,也可以让威胁行为者窃取数据或执行命令和控制攻击。
使用 DNS 隧道技术的攻击示例包括:
- DNS 信标源自 CobaltStrike 渗透测试工具,用于大多数高调勒索软件攻击
- 供应链攻击 SUNBURST 在后期开发期间使用了 DNS 隧道
- APT 集团 OilRig 在其网络间谍活动中大量利用通过 DNS 隧道的数据泄露
在我们的演示中,我们将更详细地介绍威胁参与者过去使用这些框架的方式以及未来可能如何使用它们。但这些框架共享的共同元素——DNS 活动的使用——足以表明,在我们为即将到来的攻击做准备时,DNS 层安全性可能变得比以往任何时候都更加重要。
最强大的勒索软件保护结合了攻击预防和攻击缓解策略
我们已经讨论了很多有关从递归 DNS 服务器收集的数据如何帮助识别威胁的问题。但 DNS 层安全性远不止于信息收集;强大的安全态势还应有助于保护网络免受攻击。我们将递归 DNS 服务器配置为以两种方式执行此操作:通过防止客户端连接到可疑域——在攻击开始之前停止攻击——以及通过检测可能表明正在进行的攻击的异常 DNS 层活动——允许安全团队隔离受感染的系统并减轻损害。
防止攻击的勒索软件保护
首先使用 DNS 层安全来防止勒索软件攻击的发生是许多组织青睐的一种方法,并且有充分的理由:这种策略可以防止任何利用后的损失。
虽然传统递归 DNS 服务器使用的算法会标记某些有风险的域,但这种内置防御通常有很多不足之处。在确定是否应允许客户端连接到域时,它会评估域的年龄和声誉,但允许不良行为者使用信誉良好的暂存域绕过这些 DNS 层安全协议。
我们通过配置我们的递归 DNS 服务器来标记任何异常域以在允许客户端连接之前进行更深入的审查来解决这个缺点。这种方法淘汰了更多的危险域,将用户容易受到攻击的时间窗口从大约 24 小时减少到仅仅几分钟。
虽然团队将此服务作为我们 DNS 层安全产品的一部分提供,但我们还在我们的演示中讨论了如何配置您自己的解析器以实现类似的行为。
识别正在进行的攻击的勒索软件保护
虽然防止最初的妥协可能是理想的保护形式,但这种方法并不是灵丹妙药。威胁行为者采用的策略不断演变,使得某些勒索软件攻击有可能逃过最严密的编织网。这就是为什么您的 DNS 层安全解决方案还应该包含有助于检测正在进行的攻击的协议。
对于那些希望保护 DNS 活动的人来说,这涉及到整合一个系统来标记网络中任何异常的 DNS 隧道。如前所述,大多数勒索软件攻击利用 DNS 隧道在攻击者与您网络上的系统之间建立双向和单向通信。如果 DNS 活动不安全,这将允许威胁行为者躲在雷达之下,直到他们的攻击几乎执行完毕。但是,如果您的 DNS 层安全解决方案仔细监控网络 DNS 活动,您就可以在攻击变得灾难性之前开始减轻攻击的影响。
