惡意域名訪問攔截技術的應用研究

黃勇軍 林玲 段夢霞

摘 要：針對目前電力行業(yè)信息內網存在的疑似勒索病毒的惡意域名訪問，以及終端主機可能被植入遠控木馬和僵尸程序的安全威脅情況，結合電力企業(yè)實際，對電力企業(yè)惡意域名訪問攔截技術進行了應用研究。文章首先介紹了了惡意域名訪問的發(fā)現(xiàn)方法，然后根據電力企業(yè)內網的實際情況，提出了兩種攔截技術的應用方法。通過采用多種惡意域名攔截技術，可以有效地在局域網內部對惡意域名的訪問進行攔截，保障信息網絡運行安全。

關鍵詞：DNS；惡意域名；hosts；IPS

0 引言

近期，江西公司內網發(fā)現(xiàn)網絡中存在大量的疑似勒索病毒行為，發(fā)送較多勒索病毒特定的DNS域名解析請求及大量的445端口隨機網段掃描行為，而主機大量訪問遠程控制木馬類惡意域名的情況，則存在被植入遠控木馬和僵尸程序的安全威脅。入侵者可以通過遠控木馬控制目標主機的操作權限，可以用來監(jiān)視用戶行為、篡改文件、傳播病毒、淪為跳板機、組建僵尸網絡等多種高危操作。

公司信息內網的安全性對公司安全生產工作至關重要，主機（含服務器、個人終端等）一旦感染惡意程序，將會給企業(yè)內網帶來嚴重的潛在威脅，同時DNS作為信息網絡最基礎服務，一旦大量的未知域名訪問請求很可能會造成DNS服務器宕機，從而造成依靠其服務的各類應用訪問中斷。

九江公司通過在修改終端本地Hosts文件以及通過內網防火墻DPtech DPX8000 IPS模塊進行DNS未知訪問攔截，有效地攔截了未知域名對省公司DNS服務器的訪問，同時也可以及時地發(fā)現(xiàn)可疑主機，然后進行“精準”查殺。

1、問題描述

江西省公司多次通報了各地市縣疑似感染勒索病毒特定的DNS域名解析請求的感染終端，通過與省公司的確認和我們核心交換機抓包統(tǒng)計發(fā)現(xiàn)，感染的終端都存在未知域名訪問省公司DNS服務器。

確認終端是否感染病毒（程序）訪問未知域名辦法主要有以下3種：

1）查看終端網絡連接

通過終端“資源監(jiān)視器”，可以查看本機相關程序訪問DNS服務器的網絡連接，大流量多程序的訪問一般存在惡意軟件。

2）核心交換機抓包

通過在核心交換機出口設置鏡像端口，利用wireshark進行流量抓包，提取非“sgcc”域名，然后數(shù)據導出統(tǒng)計分析可以查看哪些終端存在大量訪問省公司DNS服務器，從而判斷是否感染惡意軟件。

3）防火墻IPS日志查看

通過登錄內網UTM 防火墻，查看IPS模塊的日志，可以發(fā)現(xiàn)那些終端在大量訪問DNS服務器，從而判斷感染終端情況。

由于未知域名訪問一般與竊密木馬關聯(lián)，可使受感染主機自動向外發(fā)送數(shù)據，被用來竊取各種敏感信息和機密數(shù)據。目前公司內網360查殺還存在一定的局限性，全盤查殺后，依然存在未知域名的訪問程序。通過研究和測試，九江公司采用了通過在修改終端本地Hosts文件以及內網防火墻IPS模塊進行DNS異常訪問攔截兩種組合方法，有效攔截未知域名向省公司域名服務器的訪問。

2、主要做法

1）修改終端hosts文件，從終端層面攔截惡意域名訪問

終端主機解析域名的順序為主機緩存，本機hosts文件，DNS服務器，所以修改本機的host文件，將惡意域名訪問導向本地地址，從而從終端層面攔截惡意域名訪問，而惡意域名庫的統(tǒng)計則可以通過省公司通報或核心交換機流量抓包獲取。

編寫惡意域名處理批處理文件（.bat），然后通過桌面管理系統(tǒng)推送到各個客戶端實現(xiàn)終端全面覆蓋，但在推送過程可能會被360殺毒軟件攔截，這時則必須手動干預運行。

2）添加IPS 自定義特征，從網絡層面攔截惡意域名訪問

通過在內網防火墻UTM的IPS模塊添加自定義特征，即將惡意域名加入攔截的IPS特征庫，則IPS在網絡層將其攔截，然后查看IPS日志可以確定是哪些終端感染惡意軟件。具體做法如下：

1）添加IPS規(guī)則

IPS規(guī)則模塊通過配置攻擊防御規(guī)則，對匹配IT資源、攻擊類型、協(xié)議等的攻擊報文采取相應的動作。

選擇【IPS】=>【入侵防御】=>【IPS規(guī)則】，進入IPS規(guī)則配置頁面，

配置規(guī)則名稱，選擇IT資源、攻擊類型和協(xié)議，為不同程度的攻擊特征指定相應的防護動作。用戶可配置例外特征ID，設備對此特征將不進行防護動作。

攻擊特征包括致命、嚴重、一般和告警，防護動作及其說明如下：

告警：生成IPS日志。

阻斷：阻斷攻擊報文通過設備。

阻斷+源TCP Reset：阻斷并主動斷開源TCP連接。

阻斷+目的TCP Reset：阻斷并主動斷開目的TCP連接。

阻斷+雙向TCP Reset：阻斷并主動斷開雙向TCP連接。

2）添加IPS策略-接口策略

IPS接口策略通過在報文入接口上引用IPS規(guī)則實現(xiàn)防護功能。同時可配置策略作用的VLAN，以及生效的時間。

選擇【IPS】=>【入侵防御】=>【IPS策略】=>【IPS接口策略】，進入IPS接口策略配置頁面，配置IPS引用規(guī)則。

3） 添加IPS 特征管理-自定義特征

選擇【IPS】=>【入侵防御】=>【IPS特征管理】=>【IPS自定義特征】，進入IPS自定義特征配置頁面。

為了將惡意域名全部攔截，我們都選擇“致命”等級。

4） IPS日志查詢

選擇【IPS】=>【入侵防御】=>【IPS日志】=>【IPS日志查詢】，進入IPS日志查詢頁面，可以看到存在大量被攔截的惡意域名訪問請求，從而確定哪些終端被感染。

3 經驗總結

根據有關報告，91.3%的惡意程序是通過特定域名（網址）來控制被感染的主機。一旦主機訪問了惡意程序所注冊的域名，則基本能斷定主機感染了惡意程序。九江組合惡意域名攔截技術，通過本地和防火墻的雙層攔截，基本阻斷了惡意域名的“出口”訪問，有效地保護了省公司DNS服務，同時通過IPS攔截更“精準”地定位了感染惡意程序的主機。

參考文獻：

[1]袁福祥，劉粉林，蘆斌，等.基于歷史數(shù)據的異常域名檢測算法[J]. 通信學報，2016，（10）：172-180

[2]張雪松，徐小琳，李青山.算法生成惡意域名的實時檢測[J].現(xiàn)代電信科技，2013，（7）：3-8

[3]張永斌，陸寅，張艷寧.基于組行為特征的惡意域名檢測[J].計算機科學，2013，（8）：146-148

[4]張維維，龔儉，劉茜，劉尚東，胡曉艷.基于詞素特征的輕量級域名檢測算法[J].軟件學報，2016，（9）

[5]胡榮貴，許成喜，汪永益，張亮.馬爾科夫鏈在域名信息探測中的應用[J].計算機應用與軟件，2015，（6）：152-155

[6]黃凱，傅建明，黃堅偉，等.一種基于字符及解析特征的惡意域名檢測方法[J].計算機仿真，2018，（3）