MONT и партнеры
@komandamont
Чем опасны атаки с DGA: разбираемся со SkyDNS
Системы безопасности умеют обнаруживать и блокировать IP-адреса и/или домены, с которых хакеры управляют вредоносными программами. Но вот с DGA не все так просто: алгоритм может генерировать десятки тысяч доменных имен в день, чтобы запутать средства защиты и достичь цели атаки.
Вместе с Ярославом Яцкевичем из SkyDNS обсуждаем, как работают DGA-атаки и какие риски они несут для бизнеса.
Как устроен DGA
Хакер и вирус независимо генерируют одинаковый набор случайных доменных имен. Чтобы установить соединение, хакер регистрирует одно или несколько из них и ждет, пока ПО методом перебора «угадает» нужное имя и выйдет на связь.
Как правило, речь про несколько имен: особенно в тех DGA, что генерируют большие списки: это повышает шанс создания связи между С2 и доменом.
Почему ему сложно противостоять
С таким подходом почти невозможно обнаружить и заблокировать вирус без глубокой аналитики: дымовая завеса пустышек скрывает целевой домен, а живет он совсем недолго, постоянно передавая эстафету следующим.
Это позволяет преступникам долго контролировать зараженные машины и оставаться в тени, скрывая серьезную проблему под видом случайного трафика или DNS-ошибок.
Каковы последствия атак с DGA
DGA применяют для живучести и устойчивости С2 и высокоуровневых атак: ведут промышленный шпионаж, компрометируют госструктуры и крадут интеллектуальную собственность. Вот основные риски компаний:
Утечка конфиденциальных данных, в том числе персональных и финансовых.
Скрытая компрометация, когда вирус не вызывает подозрений на ранних стадиях.
Финансовые потери из-за простоев сервисов, нарушения SLA и другие затраты.
Репутационные риски: потеря доверия из-за публикаций об атаке.
Регуляторные последствия — санкции за несоблюдение требований по защите данных.
Инфраструктурное заражение всей корпоративной сети.
Примеры атак с DGA
Сетевой червь Conficker заразил миллионы машин в 190 странах и принес ущерб на $ 200 млн.
Банковский троян GameOver Zeus долго не поддавался международным структурам и нанес урон в $ 100 млн.
Вредонос Sunburst полгода контролировал крупные корпорации и госучреждения и привел к потерям в миллиарды долларов.
Если игнорировать аномалии в DNS-запросах, можно слишком поздно обнаружить масштаб инцидента.
Как бороться с DGA?
Чтобы бороться с DGA, службы ИБ анализируют структуру доменов на редкие сочетания символов и равномерное распределение по алфавиту, изучают трафик на поведенческие аномалии, ведут контекстный отсев по белым спискам проверенных доменов, а также анализируют DNS-записи с помощью технологии Passive DNS.
#ИБ
Системы безопасности умеют обнаруживать и блокировать IP-адреса и/или домены, с которых хакеры управляют вредоносными программами. Но вот с DGA не все так просто: алгоритм может генерировать десятки тысяч доменных имен в день, чтобы запутать средства защиты и достичь цели атаки.
Вместе с Ярославом Яцкевичем из SkyDNS обсуждаем, как работают DGA-атаки и какие риски они несут для бизнеса.
Как устроен DGA
Хакер и вирус независимо генерируют одинаковый набор случайных доменных имен. Чтобы установить соединение, хакер регистрирует одно или несколько из них и ждет, пока ПО методом перебора «угадает» нужное имя и выйдет на связь.
Как правило, речь про несколько имен: особенно в тех DGA, что генерируют большие списки: это повышает шанс создания связи между С2 и доменом.
Почему ему сложно противостоять
С таким подходом почти невозможно обнаружить и заблокировать вирус без глубокой аналитики: дымовая завеса пустышек скрывает целевой домен, а живет он совсем недолго, постоянно передавая эстафету следующим.
Это позволяет преступникам долго контролировать зараженные машины и оставаться в тени, скрывая серьезную проблему под видом случайного трафика или DNS-ошибок.
Каковы последствия атак с DGA
DGA применяют для живучести и устойчивости С2 и высокоуровневых атак: ведут промышленный шпионаж, компрометируют госструктуры и крадут интеллектуальную собственность. Вот основные риски компаний:
Утечка конфиденциальных данных, в том числе персональных и финансовых.
Скрытая компрометация, когда вирус не вызывает подозрений на ранних стадиях.
Финансовые потери из-за простоев сервисов, нарушения SLA и другие затраты.
Репутационные риски: потеря доверия из-за публикаций об атаке.
Регуляторные последствия — санкции за несоблюдение требований по защите данных.
Инфраструктурное заражение всей корпоративной сети.
Примеры атак с DGA
Сетевой червь Conficker заразил миллионы машин в 190 странах и принес ущерб на $ 200 млн.
Банковский троян GameOver Zeus долго не поддавался международным структурам и нанес урон в $ 100 млн.
Вредонос Sunburst полгода контролировал крупные корпорации и госучреждения и привел к потерям в миллиарды долларов.
Если игнорировать аномалии в DNS-запросах, можно слишком поздно обнаружить масштаб инцидента.
Как бороться с DGA?
Чтобы бороться с DGA, службы ИБ анализируют структуру доменов на редкие сочетания символов и равномерное распределение по алфавиту, изучают трафик на поведенческие аномалии, ведут контекстный отсев по белым спискам проверенных доменов, а также анализируют DNS-записи с помощью технологии Passive DNS.
Среди способов профилактики выделяют DNS-фильтрацию, ограничение сетевого доступа, фишинг-осведомленность, регулярные обновление цифровых средств безопасности, целевые ML-модели, Threat Hunting, а также постоянные тесты и отработку сценариев.
#ИБ
🔥 6
👍 4
👏 3
9 850
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram