相信每个安全从业者都过有这样的感想:搞安全,专治低血压。
“说了八百遍必须从正规渠道下载软件、不许用向日葵远控,结果他们开始用U盘拷贝盗版客户端!”
“明明和他们三令五申,不要随便点陌生邮件,结果看见个八卦邮件就点进去,直接就被钓鱼了!”
“员工自学成才,好不容易给他们上了终端安全客户端,没过一个星期全卸载了!”
防线并不完美。我们不能保证不放进一个恶意软件,但我们可以想办法让恶意软件一个都出不去。
这就是“拦截恶意反连”,是最简单有效的网络威胁遏制手段之一。
为什么说拦截恶意反连最简单、有效?
这要先从恶意软件的架构说起。
几乎所有的恶意软件都具备通信、控制和更新三个基础模块。不管恶意软件是怎样通过伪装、免杀、白加黑、域前置等高级手段悄无声息地入侵企业内网,它们都需要向C2服务器发起通信连接,才能获取新的指令,执行下一步动作。比如:
让被控终端或服务器下载新的恶意软件;让已经感染恶意程序的终端或服务器下载新的模块(如高级功能模块);让恶意程序采集终端信息上报至黑客C2服务器;让被控终端/服务器对外攻击(扫描、探测)。
恶意软件与C2服务器之间的通信被称之为“恶意反连”,是恶意软件与攻击者联系的纽带。
一旦这个纽带建立,就意味着这台主机/终端失陷,后续攻击将接踵而至:内网蔓延、加密勒索、挖矿、窃取账号密码、盗取数据……
而企业安全管理员如果“斩断”这条纽带,后续一切攻击都会戛然而止。那么,应该怎么“斩断”恶意反连?这就不得不强调DNS在网络连接中的重要性。我们上网基本很少直接输入IP,而是会输入域名,由DNS服务器把域名“翻译”成IP,再进行连接。恶意软件也是同样。数据表明,恶意软件正越来越多地使用域名作为通信方式:
◾ 2016年,Cisco年度安全报告指出,约91.3%的恶意软件使用DNS作为通信手段;
◾ 2022年,微步研究响应团队复盘全年失陷指标(IOC)命中情况的统计数据显示,恶意域名请求占比高达97.3%。恶意软件通过域名与C2服务器建立连接,必然绕不过DNS服务器。
所以,办法就来了!
如果我们把守住一家企业的DNS出口,盘查每一次反连,是“好人”就放行,是“通缉犯”就拦下,不就能阻断网络攻击了吗?这,就是微步OneDNS的技术原理。将企业的DNS出口指向OneDNS,由OneDNS做这个出口所有的DNS解析工作,并在域名解析时,将域名请求与云端海量威胁情报库碰撞,检测到恶意反连就直接拦截,反之则正常解析。当OneDNS有情报知识加持时,它就有了火眼金睛、准确识别坏人的本领,说拦截就拦截,绝不拖泥带水,把威胁直接从源头切断。
当OneDNS拦截了恶意反连之后,恶意软件就接收不到下一步指令,也下载不了新的恶意软件或模块;虽然恶意软件仍存在于服务器/终端内,但处于“飞行模式”,没有通信和下一步动作,也不会给企业带来实际的损失。利用这种方式,能够非常有效地阻断网络攻击。
OneDNS技术原理不复杂,应用起来也很简单:只需对占比仅为2%的DNS流量进行检测,就可阻断97%以上的网络攻击,对企业而言,在部署、使用、管理及运营等方面都能获得“简单”带来的价值:
轻:轻量接入。0硬件成本,仅3步10分钟内完成接入;
准:精准识别。准确度99.99%,Top100企业客户同款情报库;
稳:稳定运行。10年100%服务无中断运行,经数千家企业验证;
全:全局覆盖。同时支持多种场景,无缝兼容各类操作系统与终端,1个控制台统一管控。
实时检出威胁并自动阻断攻击,是企业最迫切的需求;而定位失陷主机并清除恶意进程,则是企业最头痛的问题。简单有效地阻断攻击,只是OneDNS助力企业办公安全的第一步,在下一篇文章中,将介绍如何利用OneDNS解决恶意进程定位难、处置溯源工作太复杂等难题,敬请期待。