DNS가 공격에 사용되는 방법
일부 위협에는 DNS 인프라에 대한 공격이 포함됩니다.
- 분산 서비스 거부 (DDoS): DNS 인프라는 인터넷 작동에 필수적입니다. DNS에 대한 DDoS 공격은 합법적인 트래픽처럼 보이는 트래픽으로 네트워크를 포화시켜 웹 사이트를 제공하는 DNS 서버를 사용할 수 없게 만들어 웹 사이트에 연결할 수 없게 만들 수 있습니다. 이에 대한 전형적인 예는 2016년 Dyn에 대한 DDoS 공격으로, 인터넷 연결 카메라에서 호스팅되는 봇 군대가 Amazon, Netflix, Spotify 및 Twitter를 포함한 많은 주요 웹 사이트에 중단을 일으켰습니다.
- DNS DDoS 증폭: DNS는 전송에 연결 없는 프로토콜인 UDP를 사용하므로 공격자가 DNS 요청의 소스 주소를 스푸핑하고 선택한 IP 주소로 응답을 보낼 수 있습니다. 또한 DNS 응답은 해당 요청보다 훨씬 클 수 있습니다. DDoS 공격자는 이러한 요소를 활용하여 DNS 서버에 작은 요청을 보내고 대규모 응답을 대상으로 다시 전송하여 공격을 증폭합니다. 이로 인해 대상 호스트의 DoS가 발생합니다.
- 기타 DoS(서비스 거부) 공격: 네트워크 기반 DDoS 공격 외에도 DNS 서버에서 실행되는 애플리케이션도 DoS 공격의 대상이 될 수 있습니다. 이러한 공격은 DNS 서버 애플리케이션의 취약성을 악용하여 합법적인 요청에 응답할 수 없도록 설계되었습니다.
DNS는 사이버 공격에 악용되어 사용될 수도 있습니다. DNS 남용의 예는 다음과 같습니다.
- DNS 하이재킹: DNS 하이재킹은 사용자가 실제로는 악성 도메인에 연결되어 있지만 합법적인 도메인에 연결되어 있다고 생각하도록 속이는 모든 공격을 말합니다. 이는 손상되거나 악의적인 DNS 서버를 사용하거나 DNS 서버를 속여 잘못된 DNS 데이터를 저장하도록 하는 방법(캐시 중독이라고 하는 공격)을 통해 수행할 수 있습니다.
- DNS 터널링: DNS는 신뢰할 수 있는 프로토콜이므로 대부분의 조직에서는 DNS가 네트워크에 자유롭게 출입할 수 있도록 허용합니다. 사이버 범죄자는 DNS 요청에 유출되는 데이터가 포함된 멀웨어를 사용하여 데이터 유출을 위해 DNS를 이용합니다. 대상 DNS 서버는 일반적으로 대상 웹 사이트의 소유자가 제어하기 때문에 공격자는 데이터가 처리될 수 있는 서버에 도달하고 DNS 응답 패킷으로 응답이 전송되도록 합니다.
- DGA(Random Domain Name)를 사용한 보안 회피: 위협 행위자는 정교한 알고리즘을 사용하여 DGA(Domain Generation Algorithm)를 사용하여 수십만 개의 새로운 도메인 이름을 생성합니다. 감염된 컴퓨터에 있는 멀웨어는 이러한 새로운 도메인 이름을 사용하여 탐지를 피하고 해커의 외부 명령 및 제어 서버에 연결합니다. 기존 보안 솔루션은 이러한 도메인이 악성인지 여부를 판단할 만큼 빠르지 않기 때문에 기본적으로 도메인을 통과하도록 내버려 둡니다.
DNS 보안의 중요성
DNS는 오래된 프로토콜이며 통합 보안 없이 구축되었습니다. DNS를 보호하기 위해 다음과 같은 몇 가지 솔루션이 개발되었습니다.
- 평판 필터링: 다른 인터넷 사용자와 마찬가지로 대부분의 멀웨어는 방문하는 사이트의 IP 주소를 찾기 위해 DNS 요청을 해야 합니다. 조직은 DNS 요청을 차단하거나 알려진 악성 도메인으로 리디렉션할 수 있습니다.
- DNS 검사: DNS 터널링을 통한 데이터 유출 또는 도메인 생성 알고리즘을 사용한 보안 회피를 위한 DNS 사용은 AI 딥 러닝 엔진으로 구동되는 위협 인텔리전스를 활용하는 차세대 방화벽(NGFW)에 의해 실시간으로 탐지 및 차단될 수도 있습니다. 이를 통해 멀웨어 명령 및 제어(C2) 통신 및 기타 공격에 DNS를 사용하는 정교한 멀웨어도 차단할 수 있습니다.
- 프로토콜 보안: DNSSEC는 DNS 응답에 대한 인증을 포함하는 프로토콜입니다. 인증된 응답은 스푸핑하거나 수정할 수 없으므로 공격자는 DNS를 사용하여 사용자를 악성 사이트로 보낼 수 없습니다.
- 채널 보안: DoT(DNS over TLS) 및 DoH(DNS over HTTPS)는 안전하지 않은 프로토콜에 보안 계층을 추가합니다. 이렇게 하면 기존 DNS와 달리 요청이 암호화되고 인증됩니다. DoH 및 DoT를 사용하여 사용자는 DNS 응답의 개인 정보를 보호하고 DNS 요청에 대한 도청을 차단할 수 있습니다(방문 중인 사이트 표시).
분석, 위협 인텔리전스 및 위협 헌팅
DNS 트래픽 모니터링은 보안 운영 센터 (SOC) 팀이 회사의 보안 태세를 모니터링하고 분석할 때 풍부한 데이터 소스가 될 수 있습니다. DNS IoC(Indicators of Compromise)에 대한 방화벽을 모니터링하는 것 외에도 SOC 팀은 유사 도메인을 찾을 수도 있습니다.
DNS 프로토콜의 악의적 사용 방지
체크 포인트 퀀텀 차세대 방화벽은 글로벌 위협 인텔리전스 시스템인 ThreatCloud AI를 통해 악성 트래픽 및 DNS 터널링 공격을 탐지합니다. ThreatCloud AI는 DNS 요청을 분석하고 판정을 방화벽으로 다시 전송하여 DNS 요청을 실시간으로 삭제하거나 허용합니다. 이렇게 하면 내부 감염 호스트와 외부 C2 서버 간의 DNS 터널링 및 명령 및 제어 통신을 통한 데이터 도난을 방지할 수 있습니다.
We encourage you to ask for a demo of new DNS Security capabilities in Quantum release R81.20 and learn more about the threat analytics and threat hunting capabilities of Check Point Infinity SOC.
피드백