目前最常見的攻擊方式之一就是域名系統(tǒng)(DNS)攻擊。DNS被廣泛使用、高度信任但又很容易受攻擊。特別是現(xiàn)在一些高級持續(xù)性攻擊(APT)變得越來越流行，它們能夠深入滲透到網(wǎng)絡(luò)深處，并且能產(chǎn)生比前幾代惡意軟件更大的危害。一旦APT成功滲透一個網(wǎng)絡(luò)，它們就會使用DNS服務(wù)器連接回遠(yuǎn)程命令與控制中心，然后下載一些破壞網(wǎng)絡(luò)運(yùn)營或偷取數(shù)據(jù)的指令。

攻擊者曾經(jīng)在一些著名事件中使用了APT攻擊，包括Michaels和Kmart等零售供應(yīng)鏈，以及American Express和JPMorgan Chase等銀行與金融巨頭。它們將會繼續(xù)蔓延到許多的行業(yè)，包括教育、政府、醫(yī)療和電信等。

攻擊者之所以使用APT，是因?yàn)樗鼈兡軌蚬タ藗鹘y(tǒng)保護(hù)模式;APT在設(shè)計上就支持在IT基礎(chǔ)架構(gòu)之中傳播、變化和隱藏，能夠靜靜地潛伏而發(fā)起長時間攻擊。然而，如果理解了它們的工作方式，它們也是可以中止的。

 [[147088]]

初始感染：初始感染可以有以下三種方式：

1. 攻擊者發(fā)送惡意軟件電子郵件給一個組織內(nèi)部的收件人。例如，Cryptolocker就是一種感染方式，它也稱為勒索軟件，其攻擊目標(biāo)是Windows個人電腦，會在看似正常的電子郵件附件中偽裝。一旦收件人打開附件，Cryptolocker就會在本地磁盤上加密文件和映射網(wǎng)絡(luò)磁盤。如果你不乖乖地交贖金，惡意軟件就會刪除加密密鑰，從而使你無法訪問自己的數(shù)據(jù)。

2. 攻擊者會感染一個組織中用戶經(jīng)常通過DNS訪問的網(wǎng)站。著名的端到端戰(zhàn)網(wǎng)Gameover Zeus就是一個例子，一旦進(jìn)入網(wǎng)絡(luò)，它就能使用P2P通信去控制受感染的設(shè)備。

3. 攻擊者會通過一個直連物理連接感染網(wǎng)絡(luò)，如感染病毒的U盤。

下載真實(shí)的APT：一旦進(jìn)入組織內(nèi)部，幾乎在所有的攻擊案例中，惡意軟件執(zhí)行的第一個重要操作就是使用DNS從一個遠(yuǎn)程服務(wù)器上下載真實(shí)的APT。在成功實(shí)現(xiàn)惡意目標(biāo)方面，真實(shí)的APT比初始感染要強(qiáng)大許多。

傳播和連回攻擊源：一旦下載和安裝之后，APT會禁用運(yùn)行在已感染計算機(jī)上的反病毒軟件或類似軟件。不幸的是，這個操作并不難。然后，APT通常會收集一些基礎(chǔ)數(shù)據(jù)，然后使用DNS連接一個命令與控制服務(wù)器，接收下一步的指令。

數(shù)據(jù)盜取：攻擊者可能在一次成功的APT中發(fā)現(xiàn)數(shù)量達(dá)到TB級的數(shù)據(jù)。在一些案例中，APT會通過接收指令的相同命令與控制服務(wù)器接收數(shù)據(jù)。然而，通常這些中介服務(wù)器的帶寬和存儲容量不足以在有限的時間范圍內(nèi)傳輸完數(shù)據(jù)。此外，傳統(tǒng)數(shù)據(jù)還需要更多的步驟，而步驟越多就越容易被人發(fā)現(xiàn)。因此，APT通常會直接連接另一個服務(wù)器，將它作為數(shù)據(jù)存儲服務(wù)器，將所有盜取的數(shù)據(jù)上傳到這個服務(wù)器中。最后這個階段一樣會使用DNS。

顯然，DNS是APT攻擊的一個理想目標(biāo)。然而，這個問題也是可以解決的。如果能夠保證DNS服務(wù)器的安全，就能夠檢測和防止APT攻擊。DNS安全保護(hù)包括幾個重要的實(shí)踐方法：保持一時半會兒到最新威脅庫;使用DHCP身份識別收集受感染終端情報，從而可以方便地清除這些終端;使用可操作的報表和日志機(jī)制，幫助完成安全和修復(fù)工作的優(yōu)先級劃分。

由于所有行業(yè)的公司都可能成為APT攻擊的目標(biāo)，因此這種攻擊態(tài)勢在不斷提高?，F(xiàn)實(shí)情況是，APT可能產(chǎn)生重大危害，一次就可能讓一個組織斷線幾個小時。只要DNS保護(hù)不力，網(wǎng)絡(luò)就有泄露數(shù)據(jù)的風(fēng)險。關(guān)于APT，你了解的信息越多，實(shí)時收集到的惡意攻擊情報越多，就越容易保護(hù)組織和網(wǎng)絡(luò)不受到攻擊。