在本周的Tech Tidbit中,我想谈谈实施适当的DNS控制作为恶意软件保护程序的一部分的重要性.
DNS查找和/或劫持DNS查找是许多恶意软件代理经常使用的工具,以帮助成功实现其预期的攻击. 恶意软件可以使用特制的DNS查找到特定的基于互联网的DNS服务器,旨在为恶意软件下载或命令和控制活动返回适当的信息. 网络钓鱼网站攻击使用DNS可以从劫持DNS响应中看出,将受害者带到第一眼看起来像是合法网站的网站,但实际上是等待受害者输入其凭据或其他机密信息的网络钓鱼网站.
帮助强化您的组织并防止使用DNS来促进恶意软件攻击的最简单方法之一是严格控制网络中DNS的配置和使用. 如果恶意软件不能正确解决如何“打电话回家”的问题,那么有意的攻击就被削弱了.
CSI在过去几年中分享的一些最佳实践:
1. 将你的域名的权威DNS服务器(那些告诉互联网你的网站位置的服务器)分开, 邮件和其他服务器)从您的内部设备用于DNS查找的DNS服务器. 您的授权服务器应该只执行该功能,而不执行其他功能-不进行其他查找.
2. 内部设备DNS查找应仅限于使用组织内指定的DNS服务器. 对于大多数使用窗户。的人来说,这意味着将DNS查找限制到您定义的Active Directory域控制器.
3. 对于所有内部DNS服务器, 应该禁止使用默认DNS根服务器进行外部查找.
4. 而不是使用根服务器进行外部查找, 定义DNS转发器的使用, 然后只使用公开可用的Cisco Umbrella(以前的OpenDNS) DNS解析器作为内部DNS服务器的转发器. 这些服务器位于IP的208.67.222.222和208.67.220.200. 顺便说一句,这些IP不是单个主机,而是通过任意cast路由自动将您映射到最近的操作服务器位置.
5. 使用防火墙禁用所有不是来自您定义的内部DNS服务器且不是以两个Umbrella DNS解析器为目的地的出站DNS查找请求.
除了速度之外,使用Umbrella DNS解析器的主要优点之一是它们不会解析已知恶意软件站点的DNS. 这些服务器不断更新新信息,以拒绝对新发现的恶意软件站点的解析.
虽然上面的步骤1 -4对于我们的大多数客户来说都很容易实现, 真正需要完成保护的是第5步, 但在许多地点仍难以完成.
你们中的许多人仍然有使用其他外部DNS服务器的独立设备, 例如广受欢迎的谷歌DNS服务器.8.8.8 or 8.8.4.我怀疑主要是因为它们容易记住. 在步骤5中实现防火墙块将使DNS停止在这些设备上工作,直到它们被重新配置. 但是,完成这一步对于提供完整的DNS控制和您可以从中获得的所有保护至关重要.
在我们审查的许多日常火力IPS报告中,我们仍然看到偶尔向伞式DNS解析器以外的DNS请求,因此我们知道在许多情况下,该过程的最后一步仍未完成.
虽然不是万无一失的方法, 适当的DNS控制是一种经常被忽视但相对简单的方法,可以为您的组织添加一些额外的恶意软件保护. 在今天的互联网上,我们可以使用我们能得到的所有保护.
鲍勃·克纳普
最近的评论