勒索軟件攻擊急劇上升，Colonial Pipeline 攻擊或 Kaseya 攻擊等備受矚目的事件占據了新聞周期的主導地位。這些攻擊的頻率和成本促使許多網絡安全專業人員研究更強大的勒索軟件保護解決方案，例如 DNS 層安全。但是您如何才能確保您的組織的安全狀況盡可能有效呢？這就是我們在 Black Hat 2021 會議期間著手回答的問題：使用 DNS 層安全性來檢測和阻止危險活動。

在 Cisco Umbrella，我們已經看到大量網絡攻擊在易受攻擊的網絡中上演。使用我們在研究新興威脅（包括最近的勒索軟件攻擊浪潮）時收集的數據，我們的團隊開發了一套解決方案，最大限度地利用遞歸 DNS 服務器來提高網絡安全性。我們在 DNS 層安全的點播演示中介紹了其中一些解決方案，我們相信這種 DNS 層安全方法也有助于保護您的網絡免受不良行為者的侵害。

你錯過了我們的談話嗎？別擔心——您可以在線查看錄制的會話或閱讀以下要點：

觀察 DNS 層活動可以幫助您識別復雜的威脅

域名系統 (DNS) 允許客戶端連接到網站、執行軟件更新以及使用組織所依賴的許多應用程序。不幸的是，DNS 層也是許多網絡中最不安全的方面之一：DNS 數據包很少受到安全協議的檢查，它們很容易通過未阻塞的端口。因此，只有今天的復雜威脅（包括勒索軟件攻擊）傾向于在 DNS 層運行才有意義。

當然，僅僅因為大多數安全團隊很少關注 DNS 層活動并不意味著您也必須這樣做。事實上，您可以配置遞歸 DNS 服務器來收集對設計和實施專有防御算法或大規模執行威脅搜尋有用的數據。例如， DNS 解析器收集數據：

• 來自權威的 DNS 日志，這些日志可以揭示通過新部署的基礎設施、BulletProofHostings 和惡意域、IP 和 ASN 進行的潛在攻擊
• 從用戶請求模式可以通過受損系統和命令和控制回調揭示正在進行的攻擊

在數據收集方面，與 Cisco Umbrella 等生產性消費者 DNS 層安全提供商合作始終是一種選擇，在我們的演示期間，我們將更詳細地介紹如何配置您自己的遞歸 DNS 服務器以收集此數據。

了解勒索軟件攻擊如何發生可以幫助您預防或減輕威脅

雖然確切的戰術、技術和程序 (TTP) 因場景而異，但大多數勒索軟件攻擊往往遵循相同的基本流程：

• 客戶端導航到 Internet 上的受感染域，不小心下載了包含惡意程序的武器化文件
• 該文件啟動了一個事件鏈，旨在在受影響的網絡上建立一個后開發框架
• 惡意程序橫向移動到網絡上的其他計算機
• 多臺計算機被勒索軟件程序感染，該程序對所有關鍵業務數據進行加密

從 2020 年開始，大多數勒索軟件攻擊都在這個過程中增加了一個步驟：數據泄露。在加密之前，該程序使用 DNS 隧道將業務關鍵數據從客戶端網絡傳輸到威脅參與者。這使得威脅行為者可以對他們的受害者施加額外的影響力——公司發現自己面臨著數據在網上泄露或出售給暗網上出價最高者的前景，而不是簡單地丟失他們的數據。

更重要的是，由于勒索軟件攻擊可能只需要五個小時即可執行，因此檢測正在進行的攻擊可能很困難，除非您擁有旨在識別這些攻擊的強大 DNS 層安全系統。

勒索軟件攻擊中使用的流行工具依賴于 DNS 層活動

早些時候，我們提到了大多數勒索軟件攻擊者如何利用網絡管理員不保護 DNS 層活動這一事實。事實上，我們觀察到一些最常見的攻擊框架嚴重依賴 DNS 隧道，既可以在網絡中立足，也可以讓威脅行為者竊取數據或執行命令和控制攻擊。

使用 DNS 隧道技術的攻擊示例包括：

• DNS 信標源自 CobaltStrike 滲透測試工具，用于大多數高調勒索軟件攻擊
• 供應鏈攻擊 SUNBURST 在后期開發期間使用了 DNS 隧道
• APT 集團 OilRig 在其網絡間諜活動中大量利用通過 DNS 隧道的數據泄露

在我們的演示中，我們將更詳細地介紹威脅參與者過去使用這些框架的方式以及未來可能如何使用它們。但這些框架共享的共同元素——DNS 活動的使用——足以表明，在我們為即將到來的攻擊做準備時，DNS 層安全性可能變得比以往任何時候都更加重要。

最強大的勒索軟件保護結合了攻擊預防和攻擊緩解策略

我們已經討論了很多有關從遞歸 DNS 服務器收集的數據如何幫助識別威脅的問題。但 DNS 層安全性遠不止于信息收集；強大的安全態勢還應有助于保護網絡免受攻擊。我們將遞歸 DNS 服務器配置為以兩種方式執行此操作：通過防止客戶端連接到可疑域——在攻擊開始之前停止攻擊——以及通過檢測可能表明正在進行的攻擊的異常 DNS 層活動——允許安全團隊隔離受感染的系統并減輕損害。

防止攻擊的勒索軟件保護

首先使用 DNS 層安全來防止勒索軟件攻擊的發生是許多組織青睞的一種方法，并且有充分的理由：這種策略可以防止任何利用后的損失。

雖然傳統遞歸 DNS 服務器使用的算法會標記某些有風險的域，但這種內置防御通常有很多不足之處。在確定是否應允許客戶端連接到域時，它會評估域的年齡和聲譽，但允許不良行為者使用信譽良好的暫存域繞過這些 DNS 層安全協議。

我們通過配置我們的遞歸 DNS 服務器來標記任何異常域以在允許客戶端連接之前進行更深入的審查來解決這個缺點。這種方法淘汰了更多的危險域，將用戶容易受到攻擊的時間窗口從大約 24 小時減少到僅僅幾分鐘。

雖然團隊將此服務作為我們 DNS 層安全產品的一部分提供，但我們還在我們的演示中討論了如何配置您自己的解析器以實現類似的行為。

識別正在進行的攻擊的勒索軟件保護

雖然防止最初的妥協可能是理想的保護形式，但這種方法并不是靈丹妙藥。威脅行為者采用的策略不斷演變，使得某些勒索軟件攻擊有可能逃過最嚴密的編織網。這就是為什么您的 DNS 層安全解決方案還應該包含有助于檢測正在進行的攻擊的協議。

對于那些希望保護 DNS 活動的人來說，這涉及到整合一個系統來標記網絡中任何異常的 DNS 隧道。如前所述，大多數勒索軟件攻擊利用 DNS 隧道在攻擊者與您網絡上的系統之間建立雙向和單向通信。如果 DNS 活動不安全，這將允許威脅行為者躲在雷達之下，直到他們的攻擊幾乎執行完畢。但是，如果您的 DNS 層安全解決方案仔細監控網絡 DNS 活動，您就可以在攻擊變得災難性之前開始減輕攻擊的影響。