Malware zunehmend DNS als Führungs- und Kanal verwendet, um Erkennung zu vermeiden, sagen Experten

2013-12-28  |  Comebuy News

Die Zahl der Malware-Bedrohungen, die Instruktionen von Angreifern über DNS wird voraussichtlich zunehmen, und die meisten Unternehmen nicht gerade für diese Tätigkeit auf ihre Netzwerke Scannen, Sicherheitsexperten sagte auf der RSA Conference 2012 am Dienstag.

Comebuy Verwandte Artikel: China Forscher folgt RSA hacking Trail nach ChinaAustralian Unternehmen in RSA SecurID token AttackTrend Micro Revisionen Bedrohungserkennung Produkt gefangen, gibt es Kunden PremisesRSA Sicherheit erlöschen März zur Kerbe, führte sagt ResearcherRSA die SecurID Verletzung verbunden, sagt der Forscher

Es gibt viele Kanäle, die Angreifer zu verwenden, für die Kommunikation mit ihren Botnets, von traditionellen wie IRC, TCP und HTTP bis hin zu eher ungewöhnlichen, wie Feeds, Wände und sogar Kommentare.

Die meisten Malware-generierte Datenverkehr, der durchläuft diese Kanäle kann erkannt und blockiert auf der Netzwerkebene durch Firewalls oder Intrusion Prevention-Systemen.

Aber das ist nicht der Fall für DNS (Domain Name System) und Angreifer nutzen, sagte Ed Skoudis, Gründer der Counter Hack Herausforderungen und SANS Fellow, anlässlich einer Präsentation neue Angriffstechniken auf der Konferenz.

Das DNS-Protokoll dient normalerweise für eine präzise kritische Funktion--die Übersetzung von Hostnamen in IP-Adressen und umgekehrt. Aus diesem Grund nicht DNS-Datenverkehr gefiltert oder durch Traffic monitoring Lösungen untersucht und darf an den meisten Netzwerken frei durchfließen.

Wie DNS-Abfragen wird von einem DNS-Server zu einem anderen übergeben, bis sie den autorisierenden Server für die jeweiligen Bereiche zu gelangen, sind auf Netzwerkebene IP Blocklisten zu blockieren sie nutzlos.

Skoudis verzeichnete Malware, die Anweisungen über DNS-Antworten einbezogen werden in zwei letzten großen Verletzungen erhält, die den Kompromiss von Millionen Konten geführt haben. Er erwartet mehr Angreifer diese schleichende Technik in den folgenden Monaten zu erlassen.

Der infizierte Computer muss nicht einmal ausgehende Verbindungen verfügen. Solange es über einen lokalen DNS-Server den Hostnamen, die rekursive Lookups für das Internet ausführt auflösen kann, kann es mit Angreifern, kommunizieren Skoudis sagte.

Protokollierung aller DNS-Abfragen, die einen lokalen Server durchlaufen, ist unpraktisch, da es zu ernsthaften Leistungsproblemen führen kann. Allerdings sagte mit einer Netzwerk-Sniffer zum Aufzeichnen der Proben in regelmäßigen Abständen zur Untersuchung eine Lösung sein kann, Skoudis.

Netzwerkadministratoren sagte sollten für ungewöhnlich lange Fragen oder Antworten, die seltsame Namen und codierte Daten enthalten, der Sicherheitsexperte. Angreifer könnten jedoch die Antworten in kleinere Einheiten aufgeteilt.

Identische Abfragen, die wiederholt bekommen alle paar Minuten ein Indiz für DNS-Führungs- und Aktivität, auch sein können, weil Computer infiziert überprüft in regelmäßigen Abständen neue Befehle.

Es gibt Tools zur Verfügung, wie DNScat, mit dem Netzwerkadministratoren nicht standardmäßigen DNS-Datenverkehr zu simulieren und Erkennung Strategien zu entwickeln. Tunneling Verkehr durch DNS-Server ist keine neue Technik, aber es wird wahrscheinlich immer Appell an Cyberkriminelle, die auf der Suche nach Möglichkeiten, Erkennung, vor allem in Unternehmensnetzwerken zu vermeiden, in denen Nummer(n) versteckte so lange wie möglich für sie entscheidend ist.

« Back