DNS 天坑技术解读(简版)
这个话题呢,一直是我比较关注的一个话题,dns天坑技术。这是简版昂,只是简单的思路。
一个企业内网的真实客户端(非伪装蜜罐客户端)
流程:
1、用户点击一封带有botnet的病毒的邮件附件/URL,受感染的客户端尝试连接C&C服务器的时候,下载恶意文件给客户端。
2、客户端发生DNS query到企业DNS服务器来解析botnet服务器,当企业DNS服务器不能被解析,DNS query会转到公网的DNS服务器。
3、在内网出口处部署网络欺诈蜜罐系统,在公网DNS服务器返回到我们的网络蜜罐系统后(DNS response)。设备修改DNS响应包,重定向到蜜网中的一台设备。
4、受感染的客户端,通过URL下载恶意文件,回包被重定向到蜜罐网络客户端,并且执行。完成和C&C服务器的通讯工作。
5、沙箱蜜罐客户端可以提取botnet主机名,连接URL,相关的通讯命令协议等信息。
6、未知防护系统会报警,bornet behavior ,同时,会把通讯时的PCAP数据抓取下来作为证据提给内网管理员。
