DNS Security в MITRE ATT&CK: как SkyDNS закрывает критические техники атак

Современные атаки редко ограничиваются одной техникой, они следуют цепочке действий, описанных в MITRE ATT&CK. Чтобы эффективно противостоять этим техникам, важно понимать, на каком этапе работают те или иные средства защиты и какие угрозы они видят. В этом контексте особенно ценно место DNS-защиты как самого раннего и часто единственного барьера для предотвращения «тихих» атак.

Что такое MITRE ATT&CK и почему это важно?

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) — это открытая база знаний, описывающая реальные действия злоумышленников на разных этапах кибератаки. Она разработана американской некоммерческой организацией MITRE.

Вся структура MITRE ATT&CK основана на следующих компонентах:

• Тактики (Tactics) — цель, которую хочет достичь злоумышленник (например, получить начальный доступ, вывести данные, установить связь с C2).
• Техники (Techniques) — методы, которыми он это делает (например, фишинг, DGA-домены, DNS-туннелирование).
• Подтехники (Sub-techniques) — вариации реализации тех же методов.

По сути, MITRE ATT&CK — это практическая «карта» действий злоумышленников. Она задает единую терминологию и помогает выстраивать оборону понятными шагами:

• сопоставлять техники с активностью известных киберпреступных групп и вредоносного ПО;
• разрабатывать и приоритизировать правила обнаружения;
• оценивать бреши в имеющейся защите;
• проводить имитации атак;
• определять, какие журналы событий (логи) нужны для анализа.

Это также международный стандарт, на основе которого выстраивают современные фреймворки угроз, включая NIST, ENISA и корпоративные политики в сфере информационной безопасности.

DNS в этой модели играет роль ключевого транспортного протокола, особенно в тактиках:

Рассмотрим, как различные средства защиты — EDR/AV, NGFW и DNS Security — действуют на этих этапах, и почему DNS-защита SkyDNS становится ключевым звеном в предотвращении атак.

Кто что видит: EDR, NGFW и DNS-защита в разных тактиках

Первоначальный доступ

На этом этапе злоумышленники проникают в сеть с помощью фишинга, уязвимостей в IoT-устройствах или неправильно настроенных маршрутизаторов.

• EDR в лучшем случае обнаружит вредоносное ПО уже после его запуска;
• NGFW может заметить подозрительный HTTP-трафик, но часто игнорирует происхождение DNS-запросов;
• DNS Security блокирует фишинговые, вредоносные и только что зарегистрированные домены (NRDs) до установления соединения или заражения, пресекает атаку на старте.

Организация управления

После проникновения вредоносное ПО связывается с внешними серверами, получая команды от злоумышленников. Для сокрытия трафика часто используются DGA-домены и DNS-туннелирование.

• EDR не увидит C2-коммуникацию, если на устройстве нет агента;
• NGFW может распознать объем трафика, но не интерпретирует DNS-запросы;
• DNS Security обнаруживает шаблоны DGA-генерации, туннелирования и C2-каналы на уровне резолвера и блокирует их до получения команд.

Эксфильтрация данных

Одной из самых сложных задач является выявление скрытого вывода данных. Всё чаще злоумышленники кодируют утечку в структуре DNS-запросов.

• EDR не даст результата без логирования DNS на хосте;
• NGFW видит объем переданного трафика, но не его содержимое;
• DNS Security фиксирует подозрительные запросы и блокирует эксфильтрацию данных до передачи. Система оповещает SOC-центр, позволяя предпринять ответные меры.

Деструктивное воздействие

Речь идет о перегрузке сетей и нарушении работы сервисов через атаки типа DNS-amplification и reflection.

• EDR может зафиксировать последствия на зараженном хосте;
• NGFW фильтрует трафик верхнего уровня, но не обрабатывает DNS-слой;
• DNS Security ограничивает, перенаправляет и отфильтровывает вредоносные запросы, сохраняя стабильность сети и доступность ресурсов.

Разведка

Атакующий может использовать DNS-запросы, чтобы понять архитектуру сети и найти уязвимые сегменты.

• EDR работает только с конечными точками и не выявляет боковые перемещения;
• NGFW не коррелирует подозрительные DNS-запросы;
• DNS Security фиксирует нетипичные шаблоны запросов, аномальные разрешения и внутреннее сканирование, не позволяя атакующим составить карту инфраструктуры.

Подготовка ресурсов

На этапе подготовки атаки злоумышленники формируют инфраструктуру, которую впоследствии используют для проникновения и управления. DNS здесь выступает критическим активом: атакующие регистрируют вредоносные домены, настраивают динамические разрешения (DGA, Fast Flux) или компрометируют легитимные DNS-серверы.

• EDR практически слеп к этому этапу — агент ещё не установлен на целевой системе, а инфраструктура создаётся за пределами корпоративной сети;
• NGFW может зафиксировать только исходящий трафик к регистраторам (если он не зашифрован), но не способен отличить легитимную регистрацию домена от подготовки к атаке;
• DNS Security, напротив, на уровне резолвера при помощи интеграции с пассивным DNS (pDNS) обнаруживает недавно созданные домены (NRD), аномальные паттерны DGA-генерации и быстро меняющиеся A-записи (Fast Flux). Это позволяет блокировать инфраструктуру злоумышленника ещё до первого контакта с жертвой, нарушая всю цепочку атаки на корню.

Предотвращение обнаружения

После проникновения атакующий стремится остаться незамеченным. DNS-туннелирование и маскировка C2-трафика под легитимные запросы — один из самых эффективных способов обойти сегментацию сети, NGFW и сигнатурные системы.

• EDR видит только конечные процессы на хосте, но не интерпретирует DNS-запросы как канал коммуникации, особенно если туннель зашифрован (DoH/DoT);
• NGFW фильтрует по портам и объёму, но не анализирует содержимое поддоменов или TXT-записей, где часто скрывается payload;
• DNS Security на уровне резолвера применяет поведенческий анализ (DET0400): высокая энтропия поддоменов, нестандартные типы записей (TXT, NULL), аномальный объем запросов к одному домену. Это позволяет обнаружить и пресечь туннелирование до расшифровки трафика, лишая атакующего канала управления и эксфильтрации.

Полный охват по MITRE ATT&CK

С точки зрения MITRE ATT&CK, DNS Security закрывает целый ряд тактик: Reconnaissance, Resource Development, Initial Access, Command & Control, Exfiltration, Impact, Defense Evasion и частично Discovery.

В актуальной версии v18 MITRE добавил отдельные Detection Strategies (DET) и Analytics (AN) для DNS-аномалий, например, DET0400 «Behavioral Detection of DNS Tunneling and Application Layer Abuse». Внедрение этих аналитик на уровне DNS-резолвера позволяет сократить время детекции и повысить точность обнаружения скрытых коммуникаций в рамках Kill Chain.

Выводы для CISO

DNS Security — не замена другим средствам защиты, а критически важный первый эшелон, особенно при противодействии скрытым и сложным атакам. Благодаря раннему обнаружению подозрительных доменов, туннелей и нестандартных DNS-паттернов, такие решения, как SkyDNS, позволяют выявлять угрозы до их реализации, сокращать время скрытого пребывания злоумышленника (dwell time) и снижать риск инцидентов.