用DNS黑洞阻断恶意软件

阻挡恶意软件、保护用户免受漏洞困扰的途径有很多,Percipient Networks正在寻求新途径:它旗下的Strongarm平台于本月近期上线,该平台适用于移动设备,并且号称全天候运作。该功能旨在阻止恶意软件对工作站点和移动设备的渗透

strongarm

托德·奥博伊是Percipient Networks的联合创始人兼首席技术官,他于2014年11月筹建了公司,此前他已经在MITRE公司担任了15年的工程师。(MITRE公司是一个负责引领和组织美国政府赞助的研究项目的非营利性组织。)奥博伊和他在MITRE的同事斯蒂芬·迪卡托决定在安全领域开始新尝试:建立Percipient Networks。

Strongarm是一个DNS黑洞,其中填满了我们团队所开发的协议检测器。当发现受害者试图和黑客控制的节点通信时,我们就接管这个连接。

DNS(域名系统)是连接IP地址和域名的技术。DNS黑洞的方法是:当请求被送往某个特定的域名时,这一请求会被被拒绝或改发,以防止恶意软件感染。奥博伊解释说,这不仅仅是拒绝向外的连接请求,Strongarm会与受害者的系统上的恶意软件进行通信。

攻击者会部署多种形式的恶意软件来作为僵尸网络的一部分,从而尝试与指令和控制服务器(C&C)通信或“乔装成亲友”。在处理勒索软件感染的时候,Strongarm能够阻止系统下载会加密用户数据的可执行文件。

奥博伊解释说,大多数勒索攻击的初期,攻击者通常不会在邮件里附带真正的可执行文件,但邮件或附件里通常有一个脚本,当你点击时才会下载攻击的第二部分文件,其中包括勒索用的可执行文件。

奥博伊说:“基于这些勒索软件在网络中的主机位置,我们可以阻止终端用户下载这些可执行文件”。

奥博伊解释说,如果用户点击了邮件中的恶意链接,Strongarm便会与用户系统上的恶意软件进行通信,并假装发送那个所请求的勒索软件。但事实上,这只是一个无害的文档。

从布防的角度来看,Strongarm有几种不同的方式。一种方法是设置Strongarm为路由器或在微软活动目录服务器的DNS递归解析器。通过新的全天候防御功能,Strongarm可以设置为独立工作站或移动端app的解析器。

奥博伊指出,从整体来看,公司很少会发现复杂的移动端恶意软件。Strongarm在移动设备上的主要用途是保护用户免受潜在的钓鱼邮件攻击。

奥博伊的公司使用基于DNS的方式来保护用户免受风险,但这一模式却并非完全为他们首创。思科2015年耗费6.35亿美元收购的OpenDNS也使用DNS来提供安全保障。

“让我们脱颖而出的是我们和被感染系统上的恶意软件的通信能力,我们对受害用户的专注,以及在糟糕透顶的情况下仍为他们提供方案和建议的努力。”

奥博伊谈到2017年的构想,他表示计划进一步拓宽Strongarm平台的业务范围,为企业提供更多的网络可见性。

奥博伊说:“2017年年初,我们打算推出新功能:通过多种不同的方式实现对网络更深层次的洞见。

相关阅读

秘笈|如何利用DNS做好网络安全工作
又一个隐形巨人开始现身 思科安全业务持续加速增长

 


1评

  • 没太看懂这个东西的用法,是说这个DNS黑洞产品依托僵尸网络控制主机的IP地址\域名等威胁情报,在本机的邮件附件脚本尝试连接这些地址/域名时,将其流量导向一个不可达地址?这玩意儿的可靠性和有效性如何保证?而且只是针对非恶意代码附件,如果附件本身就会感染系统,那这玩意儿也没啥大用处了啊。

忘记密码