使用Zeek/Bro与RITA检测长连接

大家好，我是John Strand。在本视频中，我们将讨论RITA（真实智能威胁分析）及其如何快速进行DNS分析，以发现环境中的DNS后门。

我们再次使用ADHD（可从ActiveCountermeasures.com项目页面下载）。登录虚拟机（用户ID/密码均为ADHD）后，桌面上的说明文档将指引操作。进入文档的“Attribution”部分并选择RITA，即可查看详细指南。

今天选用ADHD而非Security Onion，是因为ADHD内置了我在“网络欺骗与主动防御”课程（如Black Hat和Wild West Hackin’ Fest）中使用的数据包捕获功能。按照指南操作后，我已生成RITA的HTML输出报告。

接下来，我们进入DNS分析部分（以2017年数据为例，因TCP/IP/UDP协议未发生重大变化）。打开抓包文件后，聚焦DNS流量。

DNS可类比为电话簿：计算机通过它解析域名（如www.yahoo.com）为IP地址。后门常利用DNS进行隐蔽命令与控制（C2）。Ron Bowes开发的DNScat2是典型工具，本例中涉及子域名23,362个（关联nanobotninjas.com），远异常规（如Google仅少数子域名）。DNS后门需为每次查询建立完整连接，避免本地DNS解析器（如域控制器）返回缓存结果，因此必须随机化请求。

通过Bro日志分析，使用zgrep工具直接检索压缩档案中的字符串（如"nanobot"），可发现大量随机化子域名请求（如cat.nanobotninjas.com前缀随机）。值得注意的是，DNS服务器为8.8.8.8（Google公共DNS），这意味着请求被转发至恶意域名服务器。企业安全中，许多组织白名单放行Google流量（包括8.8.8.8），导致此类后门常被忽略。

此技术被Black Hills信息安全广泛用于渗透测试，且实际拦截率低。安全产品常忽略经Google等可信服务中转的流量，类似问题也见于域前置（Domain Fronting）等技术。

欢迎订阅频道，并关注每周三的Enterprise Security Weekly节目，我们将直言不讳地评价厂商与产品效果。

技能提升推荐（John Strand课程）：

• SOC核心技能
• 主动防御与网络欺骗
• BHIS与MITRE ATT&CK安全入门
• 渗透测试基础

支持直播/虚拟及点播学习。