阿凡达

[编辑备注-该文章由联合撰写John Stuppi丹赫伯德万事通

域名服务提供专用域名IP地址响应请求端主机查询因今日许多威胁行为方利用dNS折中端宿主监听dNS往往是识别和抑制恶意感染和调查攻击的关键步骤然而,我们的研究发现,很少组织为安全目的实际监控dNS-或完全如此-使dNS成为安全“盲点”。

我们更详细地探讨这一问题Cisco2016年度安全报告.帮助强调安全团队启动或提升对DNS监控的原因的报表中有一个数据:我们最近对恶意软件分析确认为“已知坏消息 ” 发现该恶意软件中的大多数(91.3%)以三种方式使用dNS

  1. 获取命令控制
  2. 提取数据
  3. 重定向流量

Cisco定期对dNS查询和后续tCP和UDP流量进行回溯性调查,以查明恶意源,如指令控制服务器、网站和分发点通过研究发现并识别客户网络使用中的流氓DNS解析符雇员未受监控和未受管理使用这些解析器使公司易受恶意行为的影响,如DNS缓存中毒和DNS重定向

我们还发现客户网络中与DNS有关的其他安全问题,包括DNS批量处理注册域名类似于现有域名的行为,以锁定可能无意误型域名用户)和广度dNS通向中文注册域名

深入DNS问题,最近我们检视Cisco自定义威胁情报客户多垂直网络大部分组织都因Angler开发工具箱BedepTrojan、Dyre、Cutwailspambotnet和依赖dNS帮助执行运动的其他威胁而出现恶意感染

我们的研究强调为什么警惕监控dNS 应该是组织持续安全策略的一部分dNS监控对安全调查也非常重要,因为它允许研究者绘制组件图,帮助确定从支持攻击的基础设施类型到查找源头等所有事物

组织无法监听DNS-或简单做点差事-原因之一是它们的安全团队和DNS专家通常在公司内不同的IT组工作,因此没有机会经常互动雷竞技真的能提现吗改善两组间的通信协作问题必须解决,安全技术相关分析对削弱使用dNS的对手也至关重要

求下载Cisco2016年度安全报告阅读更多DNS盲点等重要安全话题



作者类

阿凡达

John Stuppi

技术领袖

Cisco安全研究与操作