这是DNS恶意软件使用的结束吗？

Question

我读过关于发布免费的称为“预测”的与恶意软件相关的DNS查询数据集的文章。研究人员或网络安全小组可以下载或查询这些数据集，并使用它来使用DNS识别恶意软件通信。商业供应商已经在提供这种服务。

我知道恶意软件可能使用DNS的两种方式。

1. 为了指挥和控制的目的，查找它应该与之通信的网站的地址。
2. 使用DNS本身来隧道。

似乎这篇新闻文章中的数据集可以防止这两种情况发生。

在第一次使用中，恶意软件程序生成许多域名，并对每个域名进行查询，直到其中一个被解析为IP地址。然后，机器人联系命令和控制服务器的IP地址。这是一种方便的方法，可以避免显示恶意软件本身中的特定IP地址。2)如果某个特定的命令和控制服务器被关闭(或被网络管理员阻止)，则恢复。

第二次使用中的DNS更难停止，因为它通过DNS本身而不是TCP/IP进行通信。使用DNS服务器尝试像这样过滤通信量可能是不切实际的。

因此，像“预测”数据集这样的合作使得恶意软件使用DNS的风险更大，因为它将每天收集数以万计的DNS查询并通知世界。当然，它不会全部找到它们，但可能足以使用更高风险的DNS。

那么，知道这一点，为什么要使用DNS呢？从恶意软件的角度来看，仅仅联系一个或多个直接IP地址，而不是使用DNS，岂不是更容易和更安全吗？为什么不直接跳过注册域，只使用那些眨眼进出的IP地址，并达到相同的目的呢？也许通过怀疑DNS流量减慢DNS的问题仍然会阻止像“预测”这样的数据集的充分使用？

Answer 1

注：预测过渡到影响

这是DNS恶意软件使用的结束吗？

不是的。可能会稍微调整一下地形，但不会有太大的变化。

似乎这篇新闻文章中的数据集可以防止这两种情况发生。

这对于捕获使用其他人以前捕获过的恶意软件的人很有用。这对捕捉那些仅仅为了攻击你而设置燃烧器域的人，或者那些还没有被其他人抓住的人来说是没有用的。

第二次使用中的DNS更难停止，因为它通过DNS本身而不是TCP/IP进行通信。使用DNS服务器尝试像这样过滤通信量可能是不切实际的。

有一些"DNS防火墙“执行这种黑名单；非常实用。然而，同样受到“黑名单”游戏规则的严重限制。

因此，像“预测”数据集这样的合作使得恶意软件使用DNS的风险更大，因为它将每天收集数以万计的DNS查询并通知世界。当然，它不会全部找到它们，但可能足以使用更高风险的DNS。那么，知道这一点，为什么要使用DNS呢？

类似于预测GT恶意软件的被动DNS数据集(下称“预测-GTMPDNS”)会逐渐增加风险，但我肯定不会说它会显著增加风险。在这样一个基于DNS的网站可以通过过滤代理来阻止、他们的邮件服务器可以使用RBL阻止、防火墙规则通常试图限制出口流量的世界里，恶意运营商很乐意操作。

他们使用DNS的原因之一是很难在出口处阻止--由于DNS的间接特性，您很难在不阻塞所有DNS的情况下轻松地阻止其中的一些。您甚至可以让DNS指向良性的某个位置，然后在使用它时将其短暂地切割到恶意的位置，然后将其指向回.很难用IP来做，用DNS很容易。

从恶意软件的角度来看，仅仅联系一个或多个直接IP地址，而不是使用DNS，岂不是更容易和更安全吗？

从历史上看，直接IP地址的僵化降低了它的吸引力。预测-GTMPDNS可以帮助减少DNS的吸引力，但不足以排除它。

为什么不直接跳过注册域，只使用那些眨眼进出的IP地址，并达到相同的目的呢？

拥有IP地址“眨眼进出”比它是域更难。一旦你发送带有硬编码地址的恶意软件，它就卡在那个地址上了，你不能在不关闭自己的情况下眨眼就不存在。

也许通过怀疑DNS流量减慢DNS的问题仍然会阻止像“预测”这样的数据集的充分使用？

DNS的检查成本很低，不成问题.真正的问题，就像任何黑名单一样，是样本的大小和周转时间。如果你的数据库输入覆盖了50%的恶意软件，那太棒了.而且每两项中仍有一项是免费的。假设恶意软件在发布一天后被发现、提交、运行和索引.这是24小时内，该恶意软件可以运行免费和清除之前，数据库赶上。

在现实中，我认为输入预测-GTMPDNS将是不那么全面和缓慢，以赶上新的恶意软件发布。玩迎头赶上真糟糕。

这并不是说预测-GTMPDNS不是一个好主意。它是。但这不是什么银弹。