DNS

前些时间刚好看到一些缓存投毒相关的知识,搜了些资料,发现了安全顶会USENIX Security 2020上收录了一篇关于DNS缓存投毒的文章:Poison Over Troubled Forwarders: A Cache Poisoning Attack Targeting DNS Forwarding Devices。
本文是介绍DNSMon在生产威胁情报(域名IoC)系列文章的第二篇。
DNS协议作为互联网的基础和核心协议,其承载的数据在一定程度上能够反映使用域名提供服务的业务发展情况。
在这篇文章中,我将介绍如何使用DNS重绑定来读取跨站的内容,而第二部分是利用DNS fallback机制来进行内网端口扫描。
在这篇文章中,我们将创建一些活动目录金丝雀来帮助我们检测遍历网络的威胁活动,我们会使用到HELK、SilkETW、DNS解析日志、Sysmon和一个假冒的SMB/SAMR服务器。
此前疑似来自伊朗的黑客组织开展了一系列DNS劫持活动,目前被命名为海龟活动
Sysmon在最近更新中添加了一个功能,可以记录DNS事件。这一点对防御方非常有用,但对攻击方而言,这意味着如果我们的植入后门或者payload尝试通过DNS进行通信,那么蓝队就有可能搜集到相关特征,用来检测攻击行为。
最近FireEye的Mandiant事件响应和情报团队发现了一波DNS劫持活动,该活动已经影响到了中东、北非、欧洲和北美的政府、电信和互联网设备实体的数十个域名。
不知你是否会好奇 DNS 隧道为什么会有那么强大?一方面是因为 DNS 报文具有天然的穿透防火墙的能力;另一方面,目前的杀毒软件、IDS 等安全策略很少对 DNS 报文进行有效的监控管理:)
​DNS Rebind Toolkit是用于开发针对本地局域网脆弱主机和服务的DNS重绑定攻击的前端JavaScript框架。它可以用的目标设备是像Google Home、Roku、Sonos WiFi扬声器、WiFi路由器、“智能”恒温器和其他物联网设备等设备。