黄勇军 林玲 段梦霞

摘 要：针对目前电力行业信息内网存在的疑似勒索病毒的恶意域名访问，以及终端主机可能被植入远控木马和僵尸程序的安全威胁情况，结合电力企业实际，对电力企业恶意域名访问拦截技术进行了应用研究。文章首先介绍了了恶意域名访问的发现方法，然后根据电力企业内网的实际情况，提出了两种拦截技术的应用方法。通过采用多种恶意域名拦截技术，可以有效地在局域网内部对恶意域名的访问进行拦截，保障信息网络运行安全。

关键词：DNS；恶意域名；hosts；IPS

0 引言

近期，江西公司内网发现网络中存在大量的疑似勒索病毒行为，发送较多勒索病毒特定的DNS域名解析请求及大量的445端口随机网段扫描行为，而主机大量访问远程控制木马类恶意域名的情况，则存在被植入远控木马和僵尸程序的安全威胁。入侵者可以通过远控木马控制目标主机的操作权限，可以用来监视用户行为、篡改文件、传播病毒、沦为跳板机、组建僵尸网络等多种高危操作。

公司信息内网的安全性对公司安全生产工作至关重要，主机（含服务器、个人终端等）一旦感染恶意程序，将会给企业内网带来严重的潜在威胁，同时DNS作为信息网络最基础服务，一旦大量的未知域名访问请求很可能会造成DNS服务器宕机，从而造成依靠其服务的各类应用访问中断。

九江公司通过在修改终端本地Hosts文件以及通过内网防火墙DPtech DPX8000 IPS模块进行DNS未知访问拦截，有效地拦截了未知域名对省公司DNS服务器的访问，同时也可以及时地发现可疑主机，然后进行“精准”查杀。

1、问题描述

江西省公司多次通报了各地市县疑似感染勒索病毒特定的DNS域名解析请求的感染终端，通过与省公司的确认和我们核心交换机抓包统计发现，感染的终端都存在未知域名访问省公司DNS服务器。

确认终端是否感染病毒（程序）访问未知域名办法主要有以下3种：

1）查看终端网络连接

通过终端“资源监视器”，可以查看本机相关程序访问DNS服务器的网络连接，大流量多程序的访问一般存在恶意软件。

2）核心交换机抓包

通过在核心交换机出口设置镜像端口，利用wireshark进行流量抓包，提取非“sgcc”域名，然后数据导出统计分析可以查看哪些终端存在大量访问省公司DNS服务器，从而判断是否感染恶意软件。

3）防火墙IPS日志查看

通过登录内网UTM 防火墙，查看IPS模块的日志，可以发现那些终端在大量访问DNS服务器，从而判断感染终端情况。

由于未知域名访问一般与窃密木马关联，可使受感染主机自动向外发送数据，被用来窃取各种敏感信息和机密数据。目前公司内网360查杀还存在一定的局限性，全盘查杀后，依然存在未知域名的访问程序。通过研究和测试，九江公司采用了通过在修改终端本地Hosts文件以及内网防火墙IPS模块进行DNS异常访问拦截两种组合方法，有效拦截未知域名向省公司域名服务器的访问。

2、主要做法

1）修改终端hosts文件，从终端层面拦截恶意域名访问

终端主机解析域名的顺序为主机缓存，本机hosts文件，DNS服务器，所以修改本机的host文件，将恶意域名访问导向本地地址，从而从终端层面拦截恶意域名访问，而恶意域名库的统计则可以通过省公司通报或核心交换机流量抓包获取。

编写恶意域名处理批处理文件（.bat），然后通过桌面管理系统推送到各个客户端实现终端全面覆盖，但在推送过程可能会被360杀毒软件拦截，这时则必须手动干预运行。

2）添加IPS 自定义特征，从网络层面拦截恶意域名访问

通过在内网防火墙UTM的IPS模块添加自定义特征，即将恶意域名加入拦截的IPS特征库，则IPS在网络层将其拦截，然后查看IPS日志可以确定是哪些终端感染恶意软件。具体做法如下：

1）添加IPS规则

IPS规则模块通过配置攻击防御规则，对匹配IT资源、攻击类型、协议等的攻击报文采取相应的动作。

选择【IPS】=>【入侵防御】=>【IPS规则】，进入IPS规则配置页面，

配置规则名称，选择IT资源、攻击类型和协议，为不同程度的攻击特征指定相应的防护动作。用户可配置例外特征ID，设备对此特征将不进行防护动作。

攻击特征包括致命、严重、一般和告警，防护动作及其说明如下：

告警：生成IPS日志。

阻断：阻断攻击报文通过设备。

阻断+源TCP Reset：阻断并主动断开源TCP连接。

阻断+目的TCP Reset：阻断并主动断开目的TCP连接。

阻断+双向TCP Reset：阻断并主动断开双向TCP连接。

2）添加IPS策略-接口策略

IPS接口策略通过在报文入接口上引用IPS规则实现防护功能。同时可配置策略作用的VLAN，以及生效的时间。

选择【IPS】=>【入侵防御】=>【IPS策略】=>【IPS接口策略】，进入IPS接口策略配置页面，配置IPS引用规则。

3） 添加IPS 特征管理-自定义特征

选择【IPS】=>【入侵防御】=>【IPS特征管理】=>【IPS自定义特征】，进入IPS自定义特征配置页面。

为了将恶意域名全部拦截，我们都选择“致命”等级。

4） IPS日志查询

选择【IPS】=>【入侵防御】=>【IPS日志】=>【IPS日志查询】，进入IPS日志查询页面，可以看到存在大量被拦截的恶意域名访问请求，从而确定哪些终端被感染。

3 经验总结

根据有关报告，91.3%的恶意程序是通过特定域名（网址）来控制被感染的主机。一旦主机访问了恶意程序所注册的域名，则基本能断定主机感染了恶意程序。九江组合恶意域名拦截技术，通过本地和防火墙的双层拦截，基本阻断了恶意域名的“出口”访问，有效地保护了省公司DNS服务，同时通过IPS拦截更“精准”地定位了感染恶意程序的主机。

参考文献：

[1]袁福祥，刘粉林，芦斌，等.基于历史数据的异常域名检测算法[J]. 通信学报，2016，（10）：172-180

[2]张雪松，徐小琳，李青山.算法生成惡意域名的实时检测[J].现代电信科技，2013，（7）：3-8

[3]张永斌，陆寅，张艳宁.基于组行为特征的恶意域名检测[J].计算机科学，2013，（8）：146-148

[4]张维维，龚俭，刘茜，刘尚东，胡晓艳.基于词素特征的轻量级域名检测算法[J].软件学报，2016，（9）

[5]胡荣贵，许成喜，汪永益，张亮.马尔科夫链在域名信息探测中的应用[J].计算机应用与软件，2015，（6）：152-155

[6]黄凯，傅建明，黄坚伟，等.一种基于字符及解析特征的恶意域名检测方法[J].计算机仿真，2018，（3）