Безопасность корпоративной IT-инфраструктуры обычно связывают с межсетевыми экранами, шифрованием данных, защитой от фишинга и другими СЗИ, но почему-то забывают о контроле DNS-трафика. При этом функции DNS позволяют блокировать многие угрозы на начальном этапе.
Опросы BI.ZONE показывают: почти 80% компаний не отслеживают DNS-трафик. Это значит, что в IT-инфраструктуре таких компаний есть слепая зона, которая ставит их системы под угрозу.
В этой статье речь пойдет о трех особенностях DNS, позволяющих укрепить корпоративную кибербезопасность.
1. DNS предлагает безопасные пути обмена информацией
Классический протокол передачи DNS-запросов через порт 53 — DNS-over-53 или просто Do53 — не помеха кибератакам. Главная проблема, как и с другими старыми интернет-протоколами, — отсутствие шифрования при передаче сетевых пакетов. В итоге при иcпользовании Do53 компания сталкивается с целым набором угроз, например с перехватом данных (man-in-the-middle) или их подменой (DNS-спуфинг).
Зато более поздние вариации и расширения DNS-протокола исключают возможность подобных атак:

DNSSEC (DNS security extensions) — набор расширений основного протокола DNS, позволяющих блокировать атаки по подмене доменных имен благодаря криптографическим подписям в DNS-запросах и ответах. Это работает так: корневой DNS‑сервер подписывает ключ для сервера зоны .ru, а тот — для авторитативного сервера cisoclub.ru. Если на каком‑то шаге в цепочку попадет скомпрометированный сервер, он не сможет подмешать свои запросы в трафик.
DANE (DNS-based authentication of named entities, аутентификация объектов на основе DNS) — метод, который проверяет подлинность сертификатов и цифровых подписей через структуру системы DNS с использованием DNSSEC.
EDNS0 (Extension mechanisms for DNS) — расширение Do53, которое обеспечивает поддержку DNSSEC. EDNS0 позволяет передавать дополнительные данные в DNS-сообщениях и увеличивать их максимальный размер, что и делает возможным добавление цифровых подписей, ключей и другой информации для проверки подлинности DNS-запросов.
DoT (DNS-over-TLS) — протокол передачи DNS-сообщений с TLS-шифрованием соединения. Он добавляет слой безопасности, предотвращая перехват и подмену DNS-трафика.
DoH (DNS-over-HTTPS) — еще один способ безопасно передать DNS-запросы, на этот раз через инкапсуляцию заголовков DNS в зашифрованное соединение по HTTPS.
TSIG (transaction signature, транзакционная сигнатура) — протокол безопасности для идентификации и проверки целостности данных с применением асимметричного шифрования. Защищенную сигнатуру клиент и сервер проставляют в специальный раздел DNS‑запроса, чтобы подтвердить легитимность сообщения.

Таким образом, уже сам выбор современных реализаций DNS-протокола — важный элемент безопасности корпоративной IT-инфраструктуры.
2. Контроль DNS помогает заблокировать угрозы на ранних стадиях
Выше были описаны возможности по обеспечению безопасности передачи информации по протоколу DNS. Теперь поговорим о дополнительных инструментах для фильтрации данных в DNS-пакетах.
Название класса этих решений в России пока не устоялось: их называют DNS-фильтрами, DNS-шлюзами или межсетевыми экранами уровня приложений для контроля DNS-трафика (DNS-файрвол). Вот для каких задач их используют.
Защита от фишинга и вредоносных ресурсов. Контроль DNS-трафика — первый рубеж защиты от вредоносных веб-страниц. Чтобы установить интернет-соединение, нужно сперва узнать IP‑адрес ресурса, с чем и помогает DNS. Это значит, что, имея информацию об опасных доменных именах и IP-адресах, можно еще до установки соединения с вредоносным сервисом заблокировать переход к нему.
Именно фишинг чаще всего открывает злоумышленникам первоначальный доступ в сеть компании. Защита электронной почты помогает нейтрализовать основное количество таких попыток, но не 100%. По статистике BI.ZONE Secure DNS, даже при использовании email-фильтрации в инфраструктуре компании с 500 сотрудниками ежемесячно фиксируется по 2–3 попытки обратиться к фишинговым страницам — злоумышленники находят способ провести атаку по другим каналам.
72% кибератак включают фишинг в соцсетях, мессенджерах и СМС, которые не охвачены классическими средствами защиты (по данным BI.ZONE)
4 из 5 сотрудников переходят по адресу, который им диктует злоумышленник по телефону (по данным BI.ZONE)
С точки зрения DNS-фильтрации неважно, как пользователь получил ссылку на фишинговый ресурс. Главное, что заблокировать переход можно еще до соединения с ресурсами злоумышленников — в процессе разрешения доменного имени.
Основывается такая фильтрация, как правило, на информации из публичных и закрытых репутационных баз. Она дополняется сведениями из собственных баз разработчика инструмента, черными и белыми списками компании-пользователя. Также за основу таких решений должны браться данные киберразведки с платформ класса threat intelligence, чтобы противостоять наиболее актуальным для конкретного региона атакам.
Блокировка легитимных, но нежелательных ресурсов. В этом случае механика фильтрации принципиально не отличается — разница в том, что решение о запрете перехода на сайт опирается на категорию ресурса. Это упрощает контроль за соблюдением корпоративной интернет-политики.
Например, организация может заблокировать для сотрудников общедоступные файлообменники и торрент-трекеры, так как они часто используются для распространения вредоносного ПО. Таким же образом можно сделать недоступными соцсети, сайты с азартными играми и другие развлекательные ресурсы, которые могут помешать работе.
За месяц в компании с 500 сотрудниками набирается 20–30 тысяч попыток перейти на нежелательные сайты (по данным BI.ZONE Secure DNS)
Дополнительные средства для противодействия попыткам обхода защиты. Среди топ-10 опасных и распространенных веб-атак по версии OWASP (Open Worldwide Application Security Project) есть одна, которую крайне тяжело обнаружить наложенными средствами защиты. Речь о server-side request forgery (SSRF) — подмене запроса на стороне сервера. Это атака на логику веб-приложения, в которой злоумышленник заставляет сервер выполнять запросы к недоступным в нормальных условиях ресурсам.
Например, многие веб-приложения позволяют пользователю указать URL, по которому сервер должен загрузить изображение. Если сервер выполняет этот запрос без проверки, злоумышленник может подставить внутренние IP-адреса вместо внешнего URL. В результате он сможет просканировать LAN‑сегмент веб‑приложения, собрать информацию о доступных портах и хостах, используемых операционных системах и т. д.
Для митигации угрозы на бэкенде самого веб-приложения ограничивают доступные подсети: если в запросе есть октеты локального IP‑адреса, например 192.168.x.x, 10.10.x.x. и т. д., он блокируется и не выполняется.
Злоумышленники могут довольно легко обойти это ограничение. Но только если им не помешает контроль DNS-трафика.
Дело в том, что для обхода используют технику перепривязывания DNS (DNS rebinding):

Атакующий регистрирует домен (например, test.appdomain[.]com) и в специальной DNS‑записи прописывает, что этому домену соответствует IP-адрес 192.168.1.1.
Веб‑приложение увидит в поле ввода test.appdomain[.]com, не обнаружит октеты локального IP‑адреса и пропустит запрос.
Запрос направится к локальному IP-адресу 192.168.1.1 — именно он, по данным DNS, соответствует запрошенному домену.

Эффективный способ заметить такую атаку и не дать ее развить — анализировать соответствие внешних доменов локальным IP-адресам. Это можно сделать с помощью интеграции рекурсивного DNS-резолвера и DNS-фильтра.
3. Контроль DNS препятствует успеху атаки
В предыдущем разделе речь шла об атаках, в которых протокол DNS используется на первоначальных этапах, благодаря чему угрозу можно нейтрализовать еще до нанесения ущерба. Здесь же поговорим о том, как контроль DNS позволяет выявить активную атаку.
DNS-туннелирование. Представим, что на корпоративное устройство каким-то образом попала вредоносная программа. Ей надо выйти на связь с сервером управления, получить команду, передать собранные с устройства данные — все это незаметно.
Если инфраструктура покрыта мониторингом, а привычные каналы взаимодействия с внешним миром, например HTTP, ограничены, злоумышленники используют DNS-туннелирование. Благодаря этой технике общение вредоносного ПО и его командного сервера выглядит как обычные DNS-запросы и ответы.
DNS-туннелирование не становится массовой угрозой, так как у него есть существенное ограничение с точки зрения злоумышленника: кража данных или передача команд по DNS-протоколу идут очень медленно. Однако в жестко сегментированных сетях, где недоступен удобный HTTP-транспорт, критически важно держать DNS-туннели под мониторингом.
Блокировка попыток туннелирования — нетривиальная задача. Некоторые NGFW позволяют сделать это, но для этого нужно активировать в модулях IDS/IPS специальные механизмы. Как правило, этого не делают из соображений производительности: чем больше параллельно работающих функций, тем больше нагрузка и тем дольше будут проверяться входящие и исходящие пакеты. Поэтому лучше всего для борьбы с туннелями применять специализированные DNS-фильтры, которые обнаруживают попытки манипуляции с DNS-трафиком с помощью сигнатурных и динамических методов, профилирования, статистического анализа, а также при помощи вспомогательных модулей машинного обучения.
Домены, сгенерированные алгоритмом (DGA). Последний кейс, который будет рассмотрен в статье, связан с созданием интернет-доменов для проведения вредоносных кампаний. Алгоритм ежедневно генерирует тысячи доменных имен наподобие slds38sd3k.xyz на основе текущего времени и даты, комбинаций слов, хешей и пр. Злоумышленники используют сгенерированные псевдослучайные имена, чтобы передавать закодированную информацию или обходить ограничения на базе черных списков.
У таких доменов, как и у связанных с ними IP-адресов, может не быть репутации, поэтому проверка легитимности по данным threat intelligence не даст эффекта. Кроме того, сформированные с помощью DGA домены используются в туннелировании — злоумышленники могут кодировать в их наименованиях сообщения.
С другой стороны, у технологии DGA есть и легитимное применение: например, компании используют ее для именования устройств в сети. Поэтому не все DGA-домены надо блокировать — важно определять нежелательные.
Организации в России сталкиваются с вредоносным применением DGA все чаще. Пытаясь защититься от волны DDoS-атак, поднявшейся в 2022 году, организации блокируют запросы с иностранных IP-адресов. Поэтому злоумышленники стали активнее заражать российские устройства, чтобы задействовать их в атаках на российские же цели.
Если зараженное устройство получает команды от сервера, использующего DGA-домены, этому трудно помешать. После блокировки первого домена вредоносная программа легко вычислит, от какого имени ждать следующей команды. Угадать же новый псевдослучайный домен — задача с тремя звездочками.
Но это можно сделать, если у компании есть инструменты для анализа DNS-трафика с применением машинного обучения. Такие средства могут работать в рамках DNS-фильтра, NTA-системы, NGFW с модулями IDS/IPS или даже EDR. Так можно заметить скомпрометированное устройство и заблокировать его соединение с управляющим сервером. Однако далеко не все производители реализуют в решениях этого класса продвинутые методы анализа DNS-трафика, которые используют машинное обучение, профилирование, анализ семантики DNS-структуры, поведенческий анализ и так далее.
Заключение
Возможности, которые открывает мониторинг DNS для задач кибербезопасности, не ограничиваются этими кейсами. Например, анализ DNS-трафика — один из самых быстрых и простых способов оценить, скомпрометирована ли компания в моменте.
Но даже базовые шаги, такие как настройка DNS-фильтрации посещаемых ресурсов, уже помогут пролить свет на эту слепую зону. Это поможет компании заблокировать доступ в ее инфраструктуру и помешать скрытым кибератакам, которые в обычных условиях могут продолжаться практически неограниченное время.
Автор: Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE