DNS異常查詢已成為駭客繞過 EDR 的新破口!本文拆解攻擊者如何改寫設定,建立隱蔽的C2通訊與資料外送管道。企業該如何有效防禦DNS查詢行為?透過封包層級的持續監控與情資比對,讓潛在威脅無所遁形!
當駭客行動悄無聲息地滲透企業網路時,第一個破口,可能不在防火牆或端點系統,而在我們習以為常的 DNS。
近期,我們於一間客戶環境中,協助分析多台主機出現異常連線狀況,雖然作業系統與防毒軟體皆無異常,客戶的 EDR 系統亦無告警,但 NEITHViewer 在封包記錄中發現了關鍵線索:多筆DNS查詢請求被導向一組未授權的外部DNS伺服器。
這些查詢目標表面上看似正常,例如 download.windowsupdate[.]com,但實際上為偽冒網域,其背後對應的 IP 為駭客中繼站。受害電腦透過這組惡意 DNS server,將原本應該往企業合法授權DNS Server的查詢導向外部,進而建立惡意通訊,完成命令下達(C2)與資料回傳,整個過程隱蔽且不留痕跡。
這種攻擊手法的危險之處在於:駭客並非單純植入惡意程式,而是透過改寫作業系統中的 DNS 設定,將看似正常的查詢導向實際由駭客掌控的中繼站,形成隱蔽的 C2 通訊與資料外送管道。即便端點已遭感染,由於其查詢對象為類似 download.windowsupdate[.]com 等看似合法的網域,通訊過程也未觸發行為異常或憑證異常等條件,多數 EDR / MDR 系統並不會產生告警。這類攻擊極易躲過常見資安監控機制,也正是最難察覺、最具風險的地方。
NEITHViewer在這起事件中發揮了網路層行為分析的優勢,協助識別出流向異常 DNS server 的查詢行為,而 NEITHDNS 則可以進一步強化防禦,透過內建的威脅情資(IOC)比對與授權 DNS 限定策略,能即時攔截異常查詢,並詳實記錄查詢來源與時間,讓後續事件調查具備明確依據。若缺乏 DNS 封包層級的比對與流向監控,這類手法將幾乎無跡可尋,直到資料已外洩或攻擊者進一步橫向擴散為止。
這起案例提醒我們,DNS 並非純粹的基礎服務,而是駭客繞過偵測、潛行滲透的最佳管道之一。針對 DNS 查詢行為的持續監控與精確比對,是現代企業不可或缺的資安策略之一。NEITHViewer + NEITHDNS的搭配,正是補齊這道資安縫隙的關鍵工具,讓我們得以在風險發生之前,就先看見它的蛛絲馬跡。
有任何資安問題,歡迎隨時與NEITHNET團隊聯繫!