利用DNS安全缓解Web威胁 | CleanBrowsing
作者:Tony Perez | 2019年12月24日
12月18日,DeepInstinct发布了一篇精彩文章,概述了最新的Legion Loader活动。无论是对家长还是组织而言,这都很好地展示了DNS安全在缓解此类攻击方面的有效性。
Legion Loader活动
该活动被怀疑是一个“按需投放”活动,因为它分发了多种不同的恶意软件负载(例如信息窃取器、后门、加密货币挖矿程序等)。
Legion Loader负载(来源:DeepInstinct)
如果您想更好地了解其工作原理,我鼓励您阅读DeepInstinct的文章。本文的重点是DNS如何作为一种高效的安全控制手段,帮助您保护网络。
Legion Loader活动的剖析
与我的团队多年来处理和分析的许多活动一样,该活动依赖于命令与控制(C&C)结构来运作。
C&C,顾名思义,是行动的大脑。它根据特定条件协调流量和相关攻击。这些条件因业务逻辑的不同而各异。
此配置的关键在于受感染网站如何与设备交互,以及该设备如何与C&C通信。
说明这一点的好方法是查看加密货币窃取器负载的工作原理。当用户访问受感染的网站时,它会启动PowerShell并发出以下请求:
由DeepInstinct提供
PowerShell是每台Microsoft机器自带的工具。由于这是在本地发生的,它利用了您的网络DNS。
CleanBrowsing缓解所有Legion Loader C&C域名
这使您能够利用像CleanBrowsing这样的工具来分析和缓解对恶意C&C的出站请求。例如,在此活动中,以下域名被确定为C&C的关键:
- ntupdate4[.]top
- ntupdate3[.]top
- iplogger[.]org
- stationstall2[.]info
- egreetcards942[.]servehttp[.]com
- legion1488[.]info
在此示例中,当网络上的机器尝试访问恶意域名时,它会收到NXDOMAIN响应。
|
|
这样,即使攻击者能够诱使用户访问受感染的网站,并且本地控制未能限制浏览器执行本地操作,您也有一个额外的控制措施来帮助缓解潜在威胁。
谁不想要更多的安全控制呢。:)
发布在安全类别,并标记为Web和信息安全