網絡安全可能是一項令人筋疲力盡的工作。如今網絡上有信號和控制點，這些信號和控制點從網絡角度來看都沒有得到充分利用，不是說要添加新功能，利用您現有的功能。

黑客利用盲點，專攻安全團隊沒有進行監控的確切位置，其中一個地方就是DNS。遺憾的是直到最近，該協議甚至還被降級為IT基礎架構團隊，并被視為純粹的網絡管道。

現在，需要再次提醒您需要將DNS理解為威脅載體。這是政企組織、通信公司等各個互聯網相關的企業需要關注的話題。

[[260871]]

DNS相關的安全問題是必然會發生的，因為大約百分之九十的惡意軟件依賴DNS實施威脅。它用于遠程命令和控制惡意軟件，將數據泄露到外部等一系列活動。以下是您的DNS日志中可能會出現網絡安全威脅的幾種方式。

威脅1 - 機器執行他們通常不會執行的操作

示例：像Emotet一樣的Spambot惡意軟件

大多數專用設備，如工廠機器、銷售點(POS)機器和打印機，都會產生相當可預期的DNS查詢模式。即使它看起來很溫和，但任何與這些設備之一不同的東西都可能意味著麻煩。例如，如果來自您商店的POS機的DNS查詢正在查找Google.com，則表示您遇到了問題。

甚至更廣泛的設備也會產生特定的行為模式。例如，用戶筆記本電腦通常不生成MX查詢類型，郵件服務器就是這樣做的。如果用戶筆記本電腦開始像郵件服務器一樣，這可能是因為感染而發送垃圾郵件。

威脅2 - 使用DNS傳輸信息，而不僅僅是建立連接

示例：DNSMessenger木馬、DNSpionage、Pisloader木馬以及任何其他基于隧道的威脅

隧道的工作是通過將信息編碼到查詢域名中，然后由惡意接收方服務器對其進行解碼。從DNS日志的角度來看，有一些關鍵的跡象表明這種行為正在發生。

因為編碼信息通常會導致看起來像是一系列字符的混亂，所以查詢域名往往缺少實際的字典中有的單詞，看起來更像是隨機生成的字符串。隧道查詢通常也是TXT和其他查詢類型，其通常不以在典型計算機使用期間雇員利用所必需的頻率和周期性生成。隧道查詢往往是以固定間隔或可疑突發生成的。能夠將查詢歸因于其源以查看常規和突發模式非常重要。

威脅3 - 以算法方式動態更改查詢的發送位置

示例：Nymain、Qadars Banking Trojan、Qbot Trojan以及任何其他基于DGA的惡意軟件

域生成算法(DGAs)是對手黑名單的解決方法。他們創建了一系列防火墻無法識別阻止的域，并嘗試使用它們。

也就是說，DGAs要求對手實際注冊某些域。為了節省成本，攻擊者傾向于從聲望較差的注冊商中選擇不常見的頂級域名(TLD)，如.biz、.work、.hello等。像隧道查詢一樣，DGA查詢也看起來像非字典單詞，并嘗試這些組合涵蓋多個TLD。例如asdf.biz、asdf.work、asdf.hello等。

威脅4 - 隱藏的DNS查詢

示例：DNS over HTTPS(DoH)通過HTTPS的DNS執行

DoH通過加密DNS查詢和繞過正常的DNS服務器鏈，作為個人通過私密方式進行網上沖浪。在企業網絡上，解決DoH是危險的，因為它削弱了安全團隊的可見性。突然之間風險行為變得更難以發現。

威脅5 - 基礎設施劫持

因為劫持涉及攻擊者將自己插入DNS解析鏈并改變通過的信息，所以檢查查詢的DNS日志以及其各自的響應可能會有所幫助。如果對查詢的響應發生更改，現在將客戶端指向通常不應發送到的位置，則可能是劫持的跡象。DNS查詢答案顯然會隨著時間的推移而變化，但對于完全不相關的網絡上的IP地址則更少。

學會傾聽您的DNS日志的變化

DNS已經存在于每個網絡中。問題是，安全團隊是否正在傾聽它們告訴他們的內容?

[[260872]]

當組織利用其日志進行保護時，就會打開一個洞察的世界。雖然有一些工具可以幫助以更智能的方式處理所有數據，但任何安全團隊都可以采取基本步驟，即使在今天也是如此。

當專用設備嘗試執行非典型操作時要注意，并特別注意隨機生成的查詢，特別是當它們以突發或常規時間間隔進行時。