為期一周的RSA2012大會已經(jīng)落下了帷幕，但是卻給我們留下了很多有價值的內(nèi)容。在RSA大會上，有安全專家稱，大多數(shù)公司對于使用DNS作為惡意軟件的命令和控制通道都有些招架不住，通過DNS接收攻擊者指令的惡意軟件數(shù)量預(yù)計將增加，而大多數(shù)公司目前還沒有對這種活動進(jìn)行掃描。

攻擊者使用很多渠道與他們的僵尸網(wǎng)絡(luò)進(jìn)行通信，從傳統(tǒng)的TCP、IRC和HTTP到不常見的Twitterfeed、Facebook留言墻，甚至還有Youtube評論。通過這些通道的大多數(shù)惡意軟件流量都可以被防火墻或者入侵防御系統(tǒng)檢測到和阻止。

然而，對于DNS的情況并不是如此，攻擊者正是利用了這個優(yōu)勢，Counter Hack Challenges創(chuàng)始人兼SANS研究員Ed Skoudis在RSA大會上關(guān)于新攻擊技術(shù)時談到這一點(diǎn)。

DNS協(xié)議通常用于精確關(guān)鍵功能：將主機(jī)名翻譯成IP地址，反之亦然。正因為此，DNS流量不會被流量監(jiān)測解決方案過濾或者檢查，并且允許自由地通過大多數(shù)網(wǎng)絡(luò)。

當(dāng)DNS查詢從一臺DNS服務(wù)器被傳遞到另一臺，在它們到達(dá)各自域的授權(quán)服務(wù)器之前，網(wǎng)絡(luò)級IP阻止列表都不能阻止它們。

Skoudis已經(jīng)發(fā)現(xiàn)近日兩起大規(guī)模數(shù)據(jù)泄露事故(導(dǎo)致數(shù)百萬賬戶泄露)就是涉及這種通過DNS響應(yīng)接收指令的惡意軟件。他預(yù)計在未來幾個月將會有更多攻擊者采用這種隱形技術(shù)來發(fā)動攻擊。

Skoudis表示，被感染的計算機(jī)甚至不需要有出站連接。只要它能夠通過本地DNS服務(wù)器(執(zhí)行遞歸查詢)解決主機(jī)名，它就可以與攻擊者通信。

Skoudis稱，對所有通過本地服務(wù)器的DNS查詢進(jìn)行日志記錄是不切實(shí)際的，因為這會導(dǎo)致嚴(yán)重的性能問題。然而，使用網(wǎng)絡(luò)嗅探器來定期捕捉樣本進(jìn)行分析可以是一個解決方法。

網(wǎng)絡(luò)管理員應(yīng)該查找包含怪異名稱和編碼數(shù)據(jù)的查詢或者響應(yīng)，然而，攻擊者可能會將響應(yīng)分解成較小的塊。

每隔幾分鐘就出現(xiàn)相同的查詢也可能是DNS命令和控制活動的跡象，因為被感染計算機(jī)會定期檢查新命令。

網(wǎng)絡(luò)管理員可以利用一些工具(例如DNScat)來模擬非標(biāo)準(zhǔn)DNS流量，并制定檢測策略。通過DNS服務(wù)器來傳遞流量并不是新技術(shù)，但是可能會有越來越多的攻擊者開始使用這種技術(shù)來規(guī)避檢測，尤其是在企業(yè)網(wǎng)絡(luò)，因為他們可以盡可能的隱藏自己。