T1583-002-购买基础设施-DNS服务

来自ATT&CK的描述

攻击者可能会建立他们自己的域名系统（DNS）服务器，可以在攻击目标期间使用。在破坏后的活动中，攻击者可以利用DNS流量进行各种任务，包括指挥和控制（例如：应用层协议）。与其劫持现有的DNS服务器，攻击者可能会选择配置和使用自己的DNS服务器来支持渗透行动。

通过使用自己的DNS服务器，攻击者可以更好的控制和管理他们的服务器端的DNS C2流量。通过对DNS服务器的控制，攻击者可以配置DNS应用程序，为恶意软件提供有条件的响应，一般来说，在基于DNS的C2通道，在结构上有更大的灵活性。

测试案例

DNS Tunneling

DNS Tunneling是隐蔽通道的一种，通过将其他协议封装在DNS协议中传输。因为在互联网中DNS是一个必不可少的服务，所以大部分防火墙和入侵检测设备很少会对DNS流量进行过滤，由此DNS作为隐蔽信道有天生优势。

原理

DNS Tunneling可以分为直连和中继两种。

直连：client直接和指定的目标DNS Server(Authoritative NS Server)连接，通过将数据编码封装在DNS协议中进行通信。这种方式速度快，但是隐蔽性较弱，容易被探测到，且存在的限制比较多，很多场景不允许自己指定DNS Server。

中继：通过迭代DNS查询可以实现中继通道，更为隐蔽，但同时因为数据包到达目标DNS Server前需要经过多个节点，所以速度上较慢，但是可以突破防火墙等的限制。

DNS隧道工具

使用DNS over HTTPS（DoH）构建弹性C2基础架构：https://xz.aliyun.com/t/3068

检测日志

无法有效监测

测试复现

无

测试留痕

无

检测规则/思路

无

建议

缓解措施

这种技术不容易用预防控制来缓解，因为它是基于企业防御和控制范围之外的行为。

检测

这种活动大多发生在防御团队（组织）的能见度之外，使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期的相关阶段，如在指挥和控制期间。

参考推荐

MITRE-ATT&CK-T1583-002

https://attack.mitre.org/techniques/T1583/002/

使用DNS over HTTPS（DoH）构建弹性C2基础架构

https://xz.aliyun.com/t/3068