DNS威脅：隱匿攻擊的武器與駭客攻擊的新焦點

域名系統(DNS)已成為駭客攻擊的新焦點。資安業者 Infoblox 最新發佈的《2025 年 DNS 威脅態勢報告》指出，攻擊者正在改變戰術，使企業面臨前所未有的安全壓力。

報告揭示，DNS 被廣泛用於資料外洩、繞過防禦機制及散播惡意程式。更值得警惕的是，攻擊手法日益隱蔽，威脅行為者越來越多地利用 HTTPS 和 DNS over HTTPS(DoH) 等受信任協定來掩蓋其活動蹤跡。

此轉變對企業構成重大影響，因為 DNS 是少數必須保持開放以維持系統運作的協定之一，這使其成為駭客的理想入侵點。儘管幾乎所有網路都依賴 DNS，但企業普遍缺乏對其實施嚴密監控的機制。

DNS 成為隱形攻擊武器

Infoblox 威脅情報主管 Renée Burton 博士指出，今年的研究揭示了威脅行為者如何巧妙利用 DNS 進行攻擊，特別是透過註冊大量域名，以及利用 DNS 設定錯誤來劫持既有域名並假冒知名品牌。

儘管 DNS 攻擊總數正在增加，攻擊技術也在不斷演進。駭客現在更著重於隱匿性和持續性滲透。例如，DNS通道穿越攻擊（DNS tunneling）已超越暴力破解或泛洪式攻擊，成為更常見的手法。此技術允許攻擊者透過 DNS 查詢傳輸小量資料，常能躲過傳統防火牆和防毒軟體的偵測。

加密技術增添防禦難度

另一個趨勢是 DoH（DNS over HTTPS）的濫用。DoH 原本設計用於透過加密 DNS 請求來強化隱私保護，但駭客卻利用它來隱藏惡意流量。企業若無法掌握加密 DNS 的可見性，將面臨錯過入侵早期跡象的風險。

釣魚攻擊和惡意程式透過 DNS 傳播的情況持續增加。駭客常運用域名生成演算法（DGAs）來產生大量偽造域名，這使得企業難以僅依靠標準威脅情資來有效阻擋惡意域名。資安團隊因此面臨更大壓力，需要分析更多流量並處理大量警報。

2025年DNS威脅環境需要立即因應

這些威脅對資安長(CISO)造成的影響已不容忽視。DNS 應被視為重要的安全資料來源，因其能提供入侵的早期警訊。

專家也建議企業建立更全面的 DNS 層防禦機制，而非僅阻擋已知惡意網域。這應包括偵測異常查詢模式、對可疑流量實施速率限制，以及檢查加密 DNS 請求。企業也應考慮採用含有 DNS 特定指標的威脅情資。

跨團隊合作填補防禦缺口

《2025 年 DNS 威脅態勢報告》強調，網路團隊與資安團隊間的協調合作存在迫切性。由於 DNS 通常由 IT 部門管理，資安團隊往往無法全面掌握 DNS 流量情況。消除這些部門間的隔閡，對提升威脅偵測與應變能力至關重要。

也建議企業重新評估 DoH 的使用策略。雖然 DoH 能增強使用者隱私，但缺乏集中管理會大幅降低資安可見性。企業應實施 DoH 解析器的使用控管，並確保記錄所有 DNS 活動。

本文轉載自 HelpNetSecurity。