當駭客行動悄無聲息地滲透企業網路時,第一個破口,可能不在防火牆或端點系統,而在我們習以為常的 DNS。
近期,我們於一間客戶環境中,協助分析多台主機出現異常連線狀況,雖然作業系統與防毒軟體皆無異常,客戶的EDR系統亦無告警,但NEITHViewer在封包記錄中發現了關鍵線索:多筆DNS查詢請求被導向一組未授權的外部DNS伺服器。
這些查詢目標表面上看似正常,例如download.windowsupdate[.]com,但實際上為偽冒網域,其背後對應的IP為駭客中繼站。受害電腦透過這組惡意DNS server,將原本應該往企業合法授權DNS Server的查詢導向外部,進而建立惡意通訊,完成命令下達(C2)與資料回傳,整個過程隱蔽且不留痕跡。
這種攻擊手法的危險之處在於:駭客並非單純植入惡意程式,而是透過改寫作業系統中的DNS設定,將看似正常的查詢導向實際由駭客掌控的中繼站,形成隱蔽的C2通訊與資料外送管道。即便端點已遭感染,由於其查詢對象為類似download.windowsupdate[.]com等看似合法的網域,通訊過程也未觸發行為異常或憑證異常等條件,多數EDR/MDR系統並不會產生告警。這類攻擊極易躲過常見資安監控機制,也正是最難察覺、最具風險的地方。
NEITHViewer在這起事件中發揮了網路層行為分析的優勢,協助識別出流向異常DNS server的查詢行為,而NEITHDNS則可以進一步強化防禦,透過內建的威脅情資(IOC)比對與授權DNS限定策略,能即時攔截異常查詢,並詳實記錄查詢來源與時間,讓後續事件調查具備明確依據。若缺乏DNS封包層級的比對與流向監控,這類手法將幾乎無跡可尋,直到資料已外洩或攻擊者進一步橫向擴散為止。
這起案例提醒我們,DNS並非純粹的基礎服務,而是駭客繞過偵測、潛行滲透的最佳管道之一。針對DNS查詢行為的持續監控與精確比對,是現代企業不可或缺的資安策略之一。NEITHViewer
+ NEITHDNS的搭配,正是補齊這道資安縫隙的關鍵工具,讓我們得以在風險發生之前,就先看見它的蛛絲馬跡。
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com
