从OilRig APT攻击分析恶意DNS流量阻断在企业安全建设中的必要性

Part 1：OilRig攻击的DNS隧道行为简介

OilRig也被称为APT34 (Crambus，“人面马”组织，Cobalt Gypsy)，是一个来自于中东某地缘政治大国的APT组织，该组织从2014年开始活动，主要针对中东地区，攻击范围主要针对政府、金融、能源、电信等行业。受害者某国总统事务部约900个用户名和密码以及80多个网络邮件访问凭证被泄露；某国航空公司泄露了超过1万个用户名和密码，给企业和国家安全带来了极大的威胁。

OilRig依赖DNS隧道进行命令和控制，简化后的流程如下：

阶段1：静默阶段

此阶段DNS层面的行为特征如下：

• 子域名较长，一般会包含用户的IP地址、硬件ID

• 子域名使用Base64的方式加密，避免特殊字符导致域名合法性校验无法通过

• 返回NxDomain

阶段2：准备阶段

• 此阶段DNS层面的行为特征如下：

• 返回类型从NxDomain变成NoError

• 子域名中包含随机的字符或TTL极小，以避免记录被缓存

• 返回的IP代表控制指令

从DNS协议来看，内部的敏感信息只有通过子域名携带传送到控制端，然后在控制端将这些信息按照顺序拼接起来，受制于域名长度的限制，以及UDP传输的不可靠性，DNS隧道很难向外传输较大的文件，但是传输重要的敏感信息已经足够。

此阶段DNS层面的行为特征如下：

• 请求子域名变化频繁，通过域名向外传输信息

• 请求的域名中包含序列号

• 返回的IP地址基本不变

• DNS流量剧增

阶段4：向企业投递恶意文件

相对于向外泄露数据而言，通过DNS隧道向内投递可执行文件并执行似乎更加简单，除开A、AAAA记录外，TXT记录被设计成描述DNS服务的基本信息，因此可以携带更多的信息
受控端通过将接收到的TXT信息解密并拼接成可执行文件进行执行。

此阶段，主要特征如下：

• 请求的域名中包含序列号

• 请求记录可能是A，AAAA或TXT

• 如果请求记录是A或AAAA，则返回的IP地址变化频繁

• 如果请求记录是TXT，则返回的TXT内容变化频繁

• 请求频率加快，DNS流量剧增

在DNS隧道中，请求的域名、返回的IP地址，TXT信息（NS服务器的描述信息）都不在具备原本该有的含义，受控端根本不关心请求域名的IP地址是什么，更不会根据返回的IP地址去发起连接，DNS协议成为信息泄露和木马投递的媒介，而这些无法通过常规的防护设备识别。防护DNS滥用的攻击的设备必须有以下能力：

1. 具备长时间全量存储DNS请求和响应日志，单次请求无法识别未知威胁；

2. 部署必须靠近终端，或者的流量必须包含原始IP，否则行为特征都会丢失；

3. 除开基于域名字符特征的深度分析能力，还要基于行为进行辅助，否则误报会极高；

4. 具备阻断能力，攻击组织通过隧道完成木马安装后，就会进行现场清理，届时再根据告警查攻击，为时已晚。