使用Zeek/Bro和RITA检测长连接
大家好,我是John Strand。在本视频中,我们将讨论RITA(真实智能威胁分析)及其如何快速进行DNS分析,以发现环境中的DNS后门。
我们再次使用ADHD工具。要获取ADHD,请访问ActiveCountermeasures.com,进入项目选择ADHD并下载。在虚拟机上使用用户ID和密码ADHD/ADHD登录后,桌面上可以找到说明文档。文档中的“归因”部分选择RITA,即可看到我正在使用的指南。
今天使用ADHD而非Security Onion的原因在于ADHD内置了数据包捕获功能,这是我用于Black Hat和Wild West Hackin’ Fest等课程的《网络欺骗与主动防御》内容的一部分。
按照说明操作后,我已生成RITA的HTML输出报告。进入DNS Cat,打开2017年的捕获文件(虽旧但协议未变),然后进入DNS分析。
DNS可类比为电话簿:一个大型自动系统,用于将域名(如www.yahoo.com)解析为IP地址。后门可能利用DNS进行隐蔽命令与控制(C2)通信。
Ron Bowes的DNScat2是典型工具。本例中,nanobotninjas.com有23,362个子域名请求,远超正常水平(如Google子域名数量)。DNS后门需为每次查询建立完整连接,避免本地DNS解析器(如域控制器)返回缓存结果,因此必须随机化请求。
通过Bro日志分析,使用zgrep工具直接从压缩文件中检索包含"nanobot"的DNS记录。可见每次请求的子域名前缀均随机化(如cat.nanobotninjas.com前添加随机字符串),且DNS服务器为8.8.8.8(Google DNS)。这表明请求被转发至恶意服务器,而企业常因信任Google域名/IP而放行此类流量。
此技术重要原因有三:
- Black Hills渗透测试中频繁使用此类后门变种;
- 检测率较低;
- 许多安全产品忽略经Google等可信服务的转发流量。
类似技术(如域前端)将在后续视频中探讨。
欢迎订阅频道,并关注每周三的《企业安全周刊》,我们直言不讳地评价厂商与方案实效。感谢观看,下期再见!
技能提升:
可参加John的课程:
- SOC核心技能
- 主动防御与网络欺骗
- BHIS与MITRE ATT&CK安全入门
- 渗透测试基础
支持直播/虚拟与点播学习。
相关网络研讨会:
《认为被入侵?下一步该做什么?用Honeyports干扰端口扫描(网络欺骗)》。