BI.ZONE опубликовала статистику сервиса DNS-фильтрации BI.ZONE Secure DNS за 2025 год
Более половины нелегитимного трафика (61,6%) составляют переходы на домены, заблокированные внутренними правилами компаний. Часть таких переходов происходит умышленно: сотрудники пытаются получить доступ к заблокированным ресурсам, обходя ограничения корпоративной политики, например для использования внешних облачных хранилищ. Это создает риски утечки данных и других инцидентов безопасности. Остальная часть такого трафика — переходы, например, по старым ссылкам, из рассылок или при ручном вводе адреса. Однако даже такие действия опасны, так как могут привести, например, к загрузке вредоносного контента и спровоцировать киберинцидент.
Кроме того, злоумышленники все активнее используют DNS-протокол, чтобы незаметно управлять вредоносными программами и выгружать конфиденциальные данные через туннели, обходя базовые средства сетевой защиты.
Дмитрий Царев, руководитель управления облачных решений кибербезопасности, BI.ZONE: "Для обычного пользователя DNS-трафик остается невидимым: человек просто открывает почту или заходит в браузер. Но параллельно с этим идет постоянный поток фоновых DNS-запросов — их автоматически отправляют как легитимные, так и вредоносные программы, о чем пользователь даже не знает. Часть из этих запросов связана с фишингом, вредоносным ПО и теневыми ресурсами. Наша цель — перехватить эти обращения до того, как они приведут к инциденту".
Так, DNSSEC-аномалии составили 25% нелегитимного трафика. Они возникают, когда проверка DNSSEC показывает, что данные по домену не проходят валидацию. Для компаний это служит индикатором проблем в конфигурации, а в сочетании с другими признаками может указывать на потенциально вредоносную активность.
6,8% нелегитимного трафика приходятся на DGA-запросы. Злоумышленники используют их для скрытой связи ВПО и ботнетов с управляющими серверами. Вредоносные программы генерируют сотни и тысячи доменных имен в сутки, что делает блокировку отдельных адресов неэффективной. Для компаний это означает, что ВПО может долго оставаться незамеченным, маскируясь под случайный трафик. DGA часто применяется в целевых атаках для промышленного шпионажа, кражи данных и компрометации систем.
Еще 6% нелегитимного трафика составляют запросы, связанные с DNS Rebinding (перепривязкой DNS) — техникой, при которой домен переводится на другой IP-адрес. Фактически пользователь обращается к одному ресурсу, а запрос перенаправляется на другой. Такой подход позволяет злоумышленнику обходить защитные механизмы веб-приложений от SSRF, заставляя корпоративные системы отправлять запросы к внутренним сервисам, недоступным извне.
DNS-туннели остаются нишевым, но вариативным способом скрытой передачи данных и удаленного управления сетью. За год BI.ZONE Secure DNS зафиксировал более тысячи попыток построить DNS-туннель для скрытого вывода информации из корпоративных сетей, даже оснащенных IDPS- и NTA-системами.
