利用DNS安全缓解Web威胁:以Legion Loader攻击为例

本文通过分析Legion Loader恶意软件活动,详细介绍了DNS安全如何作为关键控制层有效阻断命令与控制通信。文章包含具体恶意域名列表和NXDOMAIN响应机制说明,展示了DNS过滤技术的实际防护效果。

利用DNS安全缓解Web威胁 | CleanBrowsing

作者:Tony Perez | 日期:2019年12月24日

12月18日,DeepInstinct发布了一篇精彩文章,详细介绍了最新的Legion Loader攻击活动。无论是对个人家长还是企业组织而言,这都完美展示了DNS安全在缓解此类攻击方面的有效性。

Legion Loader攻击活动

该活动被怀疑是"付费投放器"活动,因为它分发了多种不同的恶意软件载荷(例如信息窃取器、后门程序、加密货币挖矿程序等)。

Legion Loader载荷(来源:DeepInstinct)

建议阅读DeepInstinct的文章以深入了解其工作原理。本文重点将放在DNS如何作为高效安全控制机制来保护您的网络。

Legion Loader攻击活动剖析

与我的团队多年来分析和处理过的许多活动一样,该活动依赖于命令与控制(C&C)结构来运作。

C&C,顾名思义,是攻击行动的大脑。它根据特定条件协调流量和相关攻击,这些条件因业务逻辑而异。

此配置的关键在于受感染网站如何与设备交互,以及设备如何与C&C通信。

以加密货币窃取器载荷为例:当用户访问受感染网站时,它会启动PowerShell并发出以下请求:

(由DeepInstinct提供)

PowerShell是每台微软计算机自带的工具。由于这是在本地发生的,它会使用您的网络DNS。

CleanBrowsing缓解所有Legion Loader C&C域名

这使得您可以利用CleanBrowsing等工具分析和缓解对恶意C&C的出站请求。在此活动中,以下域名被确定为C&C的关键:

1
2
3
4
5
6

ntupdate4[.]top
ntupdate3[.]top
iplogger[.]org
stationstall2[.]info
egreetcards942[.]servehttp[.]com
legion1488[.]info

在此示例中,当网络中的设备尝试访问恶意域名时,将返回NXDOMAIN响应:

1
2

nslookup legion1488.info 185.228.168.9
Server: 185.228.168.9

这样即使攻击者能够诱使用户访问受感染网站,且本地控制措施未能阻止浏览器执行本地操作,您仍有额外的控制层来帮助缓解潜在威胁。

谁不想要更多的安全控制呢。:)

发布于安全分类,标签:Web与信息安全

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次