欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

让恶意病毒木马DNS数据传输成为过往历史:看俺怎么样让XShell木马病毒报废

来源:本站整理 作者:佚名 时间:2017-09-25 TAG: 我要投稿

根基辞汇说明:
DnsA记载传输:
应用dns剖析进程,在哀求剖析的域名中包括需别传的数据,如xxxxxx.hack.com。则终极hack.com的dns办事器会收到xxxxx这个数据回传。
dns的txt范例回包:
一样平常指为某个主机名或域名设置的阐明,可被黑客应用回传数据。终端哀求某恶意病毒木马域名的dns剖析,dns前往txt记载,包括黑客必要的回传内容,如模块更新数据、指令等
概述:
跟着愈来愈多的公司网安认识进步,大批公司已封闭socket通讯,仅容许员工经由进程http/https协定外网,同时采用了愈来愈多针对http协定的检测步伐(如数据分析恶意病毒木马url等)。为回避检测,Dns传输已慢慢成为愈来愈多的恶意病毒木马软件隐藏传输的办法,dns传输应用dns逐级剖析进程终极把域名中的恶意病毒木马内容传输到远端节制器,也应用dns的txt范例回包更新当地木马病毒。
为办理此成绩,笔者提出基于全web署理的dns恶意病毒木马传输屏障计划,经由进程制止终端做dns剖析,仅容许署理做dns,完整屏障pc的恶意病毒木马dns传输的同时,保证终端可以经由进程web署理拜访公网(备:这也是各大公司以后采用的上外网的办法通用计划),有用办理dns恶意病毒木马传输成绩。适用于各大公司彻底办理dns木马病毒传输通道成绩。
根本思惟与道理
详细道理以下所述:
1、牢固pc的dns办事器设置装备摆设,并制止改动,避免木马病毒改动绕过网安战略,或用户改动设置装备摆设有意低落网安标准
2、屏障pc外联的53端口拜访,避免恶意病毒木马法式在代码中应用自定义dns办事器
3、收紧pc终端的dns剖析,dns办事器仅相应容许的白名单域名剖析,其余不前往成果
4、pc通讯全web署理,容许web署理本身做dns剖析
终极完成完整屏障pc的恶意病毒木马dns传输的同时,保证终端可以经由进程web署理拜访公网,办理dns恶意病毒木马传输成绩。
体系架构

模块功效描写:
内网终端:内网用户应用的拜访公网的终端,可包括pc、手机、平板等
Web署理: 供给web协定的署理,终端可经由进程此署理拜访外网数据
Web办事:外网的web办事
内网终端公用dns办事器:给内网终端供给dns办事,仅限白名单域名的剖析
白名单:容许被剖析的域名,如baidu.com等
署理公用dns办事器:给web署理供给dns办事器,不供给黑名单剖析,低落恶意病毒木马web营业拜访
黑名单:供给恶意病毒木马域名清单,制止署理公用dns剖析,进而制止署理拜访恶意病毒木马url
公网dns办事:外网dns办事器,包括各个递归办事器
其余dns办事器:内网终端公用办事器外的其余dns办事器,包括公网dns办事器、署理公用dns办事器等
试验情况演示:
1、 试验情况先容
a) 一台内网终端,win7x64体系
i. ip:192.168.187.139
ii. 网关:192.168.187.2
iii. dns:192.168.187.141(内网终端公用dns)
b) 一台dns办事器(内网终端公用dns),server 2008
i. ip:192.168.187.141
ii. 网关:192.168.187.2
iii. dns:192.168.187.2
c) 一台squid署理办事器,ubuntu体系
i. ip:192.168.187.136
ii. 网关:192.168.187.2
iii. dns:192.168.187.2(署理公用dns)
d) 防火墙
制止内网终端非受权拜访,仅容许网关、内网终端公用dns、署理拜访,或白名单法式的socket衔接(不支持web署理,联通必要内网终端公用dns白名单共同)
2、 设置装备摆设进程:
a) 终端设置装备摆设
i. 锁定dns设置装备摆设,避免用户或木马病毒改动:
Xp体系可应用这个

Win7可应用此对象

ii. 设置装备摆设署理,拜访外网:

b) Dns办事器设置装备摆设
i. 应用前提转发不容许剖析白名单之外域名
l 清空根提醒(避免无奈节制的递归)

l 确认,弗成制止递归(不然无奈完成前提转发)

l 假如容许剖析,则设置装备摆设到署理公用dns,可完成递归剖析

c) Squid设置装备摆设
i. 设置装备摆设黑名单,比方:淘宝、京东,避免员工下班购物,固然从网安角度可设置装备摆设各类黑域名

ii. 设置装备摆设署理公用dns(192.168.187.2),可剖析随意率性域名

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载