سرور DNS
DNS Serverتوضیحات
مهاجمان سرورهای DNS را برای استفاده در عملیات تهیه میکنند. سرورهای DNS اختصاصی به مهاجم اجازه میدهند زیرساخت C2 را مدیریت کند، ترافیک را هدایت کند و از تکنیکهایی مانند Fast Flux استفاده کند. این رویکرد انعطافپذیری بیشتری در مدیریت زیرساخت مهاجم فراهم میکند.
روشهای شناسایی
پایش سرورهای DNS جدید مرتبط با دامنههای مشکوک. تحلیل ترافیک DNS برای الگوهای Fast Flux. استفاده از سرویسهای اطلاعات تهدید برای شناسایی سرورهای DNS مخرب.
روشهای مقابله
استفاده از DNS filtering برای مسدودسازی دامنههای مخرب. پیادهسازی DNSSEC. نظارت بر ترافیک DNS خروجی. محدودسازی DNS resolvers مجاز.
تکنیک اصلی
تهیه زیرساخت
مهاجمان زیرساختی را خریداری، اجاره یا به دست میآورند که میتوانند در طول هدفگیری از آن استفاده کنند. این زیرساخت میتواند برای میزبانی C2، صفحات فیشینگ، توزیع بدافزار یا سایر مراحل حمله استفاده شود. استفاده از زیرساخت خریداریشده به مهاجم کمک میکند تا ردپای خود را پنهان کند و شناسایی را دشوارتر سازد.