威胁情报+DNS解析，12h完美处置驱动人生 – 作者:Threatbook

一次真实的攻击事件：12h 处置“驱动人生”木马

• 2020年8月2日凌晨 4:46，某黑客团伙攻破了某公司服务器并安装木马。

• 2020年8月2日凌晨 4:57，该公司监测到攻击行为，发现该服务器正在尝试访问某域名，此域名指向“驱动人生”木马。

• 2020年8月2日凌晨 5:00 整，攻击行为持续被监测到，并已经发现有10多台服务器被攻破。

• 2020年8月2日上午 9:00，该公司总部发现攻击事件后，根据网络安全设备的监测和定位功能，迅速对被攻破服务器进行断网、查杀、加固。

• 2020年8月2日晚 9:00，全部应急响应工作圆满结束，整个处置时间不超过12小时。

检测响应效率如此之高，这家公司的秘诀是……？

该公司当时的网络安全建设情况：

1. 办公网防护措施只有防火墙和上网行为管理设备，且高度依赖规则，特征库每年更新一次，对 APT、勒索病毒等新型威胁几乎无法防范。

2. 大量分支机构通过公网连接进总部，且这些分支都没有相应的安全防护设备，总部进行安全防护的部署实施和运维成本很高，终端准入也较难推动。

3. 企业员工需接入 VPN 访问总部网络。虽已部署流量检测设备，且能够检测出大量终端中招，但由于分支机构终端 IP 为动态分配的，无法定位到具体终端，企业明知道有终端需要处理，也无法采取下一步措施。

综合考量后，该公司认为从 DNS 解析入手、并引入威胁情报进行实时拦截的方案较为高效，最终选定了基于威胁情报的安全 SaaS 产品——OneDNS（企业版）。

选择 OneDNS 的理由：稳定、精准、简单，威胁不出网

OneDNS 是国内知名公共 DNS 服务，已经高速、稳定运行8年。OneDNS 的企业版提供互联网安全接入服务，依靠威胁情报厂商微步在线的高质量云端威胁情报，通过情报即时碰撞，能够准确识别木马、钓鱼攻击、勒索软件、APT 攻击等新型未知的威胁，只要有访问恶意链接的行为，OneDNS 就可以自动拦截阻断恶意攻击，能够做到攻击不出网，增加攻击者成本，为应急响应争取时间。

OneDNS 的部署运维十分简单，该公司无需部署软硬件，只需修改总部和分支机构的 DNS 递归查询地址指向 OneDNS， VPN 接入终端统一安装轻量 Agent，总耗时仅仅 2 小时，就完成了近 10,000 台终端的部署，且分支机构无需运维。

同时，总部安全运维人员可通过 OneDNS 实时监控各分支安全防护情况，下发统一的安全防护策略，实现分支的统一管控。遇到突发事件时，OneDNS 通过获取终端名、MAC 地址等资产信息，即使中招终端是动态 IP，也能实现精准定位，方便下一步处置。15天，OneDNS都做到了什么？

部署15天，OneDNS 都做到了什么？

根据该公司的使用情况，15天内共进行 DNS 查询2.1亿次，拦截威胁2.3万次。

检测出60余起攻击事件，其中包括一起俄罗斯 APT 组织攻击事件。检出威胁域名如下：

来源：freebuf.com 2021-05-26 11:48:29 by: Threatbook