一、什么是DNS攻击

在互联网普及的今天,DNS攻击已经成为企业和个人面临的一个不可避免的威胁。DNS攻击指的是针对域名系统(DNS)的恶意行为,其目的是破坏或干扰域名系统的正常运行。DNS是将域名转换为相应IP地址的关键组件,在互联网中起到了至关重要的作用。DNS攻击的形式包括但不限于DNS欺骗、DNS劫持、DNS投毒和DDoS攻击等。攻击者可能会利用DNS漏洞或者通过伪造DNS回复等方式进行攻击,以达到他们的目的,比如窃取敏感信息、破坏服务或者进行其他恶意行为。DNS攻击对个人和企业都有很大的影响,包括网络瘫痪、数据泄露、网络钓鱼和恶意软件等问题。

由于对于互联网的大多数使用都是通过 DNS 进行的,这种普遍性使 DNS 成为了攻击基础架构的一个重要环节。Akamai 每天观察到近七万亿次 DNS 请求,并将恶意 DNS 事务分为三大类:恶意软件、网络钓鱼以及命令和控制。

二、DNS攻击现状

2023年4月3日,负责支持和保护网络生活的云服务提供商阿卡迈技术公司宣布于近日发布了全新的《互联网现状》报告,该报告重点说明了恶意域名系统 (DNS) 流量对亚太地区企业和消费者造成的威胁。

这份亚太地区 (APAC) 报告的主要结论包括:

  • QSnatch 成为亚太地区最大的僵尸网络威胁:专门针对 QNAP(企业用于备份或文件存储的网络连接存储 (NAS) 设备)的恶意软件 QSnatch 是 2022 年迄今为止亚太地区企业环境中最大的僵尸网络威胁。亚太地区近 60% 的受影响设备感染了 QSnatch,仅次于北美。
  • 企业命令和控制流量增多:在任意季度,全球都有 10% 至 16% 的企业会在其网络中遇到命令和控制 (C2) 流量,这表明有可能正在发生攻击或存在数据泄露。在亚太地区,Akamai 观察到,约有 15% 的受影响设备会连接初始访问代理 (IAB) 域。这些域的背后是网络犯罪团伙,他们向其他网络犯罪分子(比如勒索软件团伙)出售遭到入侵网络的未经授权的访问权。
  • 亚太地区遭受的家庭网络威胁全球最高:亚太地区记录的消费者家庭网络威胁远远高于全球其他地区。2022 年下半年,北美标记的恶意查询数量位居第二,与之相比,亚太地区是它的两倍。我们发现,亚太地区有超过5 亿次查询与 Pykspa 有关,Pykspa 是一种利用 Skype 消息传播的蠕虫病毒,通过向受影响用户的联系人发送恶意链接来窃取信息。

2.1 企业受到 DNS 攻击的威胁日趋严重

据 Akamai的数据,在任意给定季度,全球有 10% 至 16% 的企业会在其网络中遇到命令和控制 (C2) 流量。C2 流量的存在表明可能有攻击正在进行中,或已发生数据泄露,而威胁则包括窃取信息的僵尸网络、初始访问代理 (IAB)(他们向其他网络犯罪分子出售遭到入侵网络的未经授权的访问权)等。

【DNS安全】近期DNS攻击在亚太地区流行现状分析-RadeBit瑞安全【DNS安全】近期DNS攻击在亚太地区流行现状分析-RadeBit瑞安全

亚太地区,15% 的受影响设备已连接到已知的 IAB C2 域(比如 Emotet),这些域首先进行初始入侵,然后向 Lockbit 等勒索软件团伙和其他网络犯罪团伙出售访问权。在该地区,还发现 Revil 和 Lockbit 等勒索软件变体也位列影响所有企业设备的五大 C2 威胁类型。

Akamai 亚太地区及日本安全技术和战略总监 Reuben Koh 表示:“随着作为全球经济和数字化转型中心的亚太地区的发展步伐不断加快,攻击者继续探索各种攻击企业的手段以获取经济利益也就不足为奇了。在 Akamai 的最新发现中,不仅重点指出了每个地区最为普遍的攻击,而且还指出多阶段攻击已经成为针对我们地区现代网络环境的主要攻击手段。攻击者发现,当他们合作开展攻击或在一次攻击中结合使用多种工具时,他们的得手率会提高。C2 基础架构对于这些攻击的成功至关重要,因为它们可以用于通信,以及促进下载攻击负载和下一阶段的恶意软件,以继续推进攻击。”。

他还表示:“由于多阶段攻击可能会对企业产生不利影响,因此,企业必须抢先一步阻击攻击者。除了直接经济损失、客户信心和信任受损等直接影响外,还会付出用于恢复遭到破坏的基础架构的长期成本,比如法律、赔偿和清理费用。”

2.2 QSnatch 感染是导致亚太地区恶意DNS流量增加的罪魁祸首,亚太地区遭受家庭网络威胁全球最高

虽然攻击者的攻击目标往往是企业,因为成功入侵企业网络会带来更大的回报,但攻击家庭用户更容易而且更快,因为家庭用户的网络不像企业环境那样安全。攻击者不仅试图滥用计算机等传统设备,而且还试图滥用手机和物联网设备。

根据 Akamai 的数据,2022 年下半年,亚太地区出现与家庭网络威胁有关的查询数量最多。该地区的数量是北美地区的两倍,北美地区是标记查询次数第二多的地区。

Akamai通过分析过去六个月中数百万个恶意标记查询的匿名样本来研究家庭网络的恶意 DNS 流量,以说明用户应该关注哪些威胁。Akamai在分析中发现了 Pykspa,这是一种通过 Skype 向受影响用户的联系人发送恶意链接来进行传播的威胁,其在全球标记的 DNS 查询数量达到 3.67 亿个。Pykspa 会查询 Skype 配置以收集有关受影响用户的个人信息。值得关注的是,它会检查受影响用户的 Skype 语言界面,如果采用的是他们正在监控的众多语言之一,恶意软件就会相应地调整滥发的 Skype 消息。

【DNS安全】近期DNS攻击在亚太地区流行现状分析-RadeBit瑞安全

Akamai 亚太地区及日本安全技术和战略总监 Reuben Koh 表示: “家庭用户在其网络遭到入侵时可能失去所有数据,除了这种个人面对的后果外,如果他们的设备成为大规模僵尸网络的一部分,攻击者可以调动僵尸设备,并在用户不知情的情况下进行网络犯罪活动,比如发送垃圾邮件,甚至对企业发动 DDoS 攻击,这会产生更为隐蔽的严重后果。”

他还表示:“我们看到此类攻击在本地区兴起,这并不奇怪,亚太地区目前有超过 12 亿人在使用移动互联网服务,而且预计 2026 年物联网支出将达到 4360 亿美元。该地区对于移动设备和智能设备的使用和采用持续增加,可能预示着此类攻击也会增加,这要求家庭用户保持高度警惕,避免成为网络攻击的受害者。”

三、防范与建议

1、部署防火墙:防火墙可以帮助阻止入侵企业网络的攻击,包括DNS攻击。

2、加密数据传输:通过使用SSL/TLS等安全协议来加密网络流量,可以帮助防止黑客截取和窃取数据。

3、监控DNS流量:监控DNS流量可以帮助企业快速发现和响应DNS攻击,及时采取措施应对攻击。

4、限制DNS访问:限制访问企业网络的DNS服务器可以减少被攻击的风险,同时也可以增强安全性。

5、增加DNS容错:多个DNS服务器的部署和备份可以帮助确保DNS服务的可用性,即使某个服务器遭受攻击也不会影响整个系统的运行。

6、增强域名控制:企业和个人用户可以通过使用DNSSEC等技术增强对域名的控制,减少被攻击的风险。

除此之外Akamai给企业和家庭用户的建议:

  • 保持积极主动,确保为您的所有数字资产和用户提供出色的网络安全保护
    • 企业应首先实现对所有软件和硬件资产的监测,并绘制出企业数据历程中每一步的所有关键漏洞以及所需的控制措施,比如防范 DDoS、恶意软件攻击和采集以及横向移动和渗透。
    • 最佳做法包括保持更新所有系统和软件,实施反恶意软件和多重身份验证,并在任何时候都对用户和设备实施最低权限访问。对于较大的企业或要求更复杂的企业,请让专业供应商提供帮助,同时也要积极监控性能和异常事件。
  • 在家里培养良好的安全做法
    • 家庭用户应采取积极措施,确保定期进行软件更新,安装反恶意软件和对家庭 WIFI 网络使用 WPA2 AES 或 WPA3 加密,从而保护所有设备。他们还应该对任何潜在的可疑网站、下载内容和通过电子邮件或短信发送的消息保持高度警惕。