Компания Bi.Zone представила аналитику работы сервиса DNS-фильтрации Bi.Zone Secure DNS за 2025 год. Согласно данным, свыше половины (61,6%) неразрешенного трафика приходится на попытки перехода на домены, заблокированные внутренними политиками организаций. Об этом CNews сообщили в Bi.Zone.
Часть подобных обращений совершается намеренно: работники стремятся получить доступ к запрещенным ресурсам, обходя корпоративные ограничения, например, чтобы воспользоваться сторонними облачными сервисами. Это создает угрозу утечки информации и иных нарушений безопасности. Остальные подобные запросы — это, к примеру, переходы по устаревшим ссылкам из рассылок или ручной ввод адреса. Однако даже такие действия небезопасны, поскольку могут, например, привести к загрузке вредоносного кода и вызвать кибератаку.
Помимо этого, злоумышленники всё чаще задействуют DNS-протокол для скрытного управления вредоносным ПО и извлечения конфиденциальных данных через туннели, минуя базовые средства сетевой безопасности.
Дмитрий Царев, руководитель управления облачных решений кибербезопасности, Bi.Zone: «Для рядового пользователя DNS-трафик остается незаметным: человек просто проверяет почту или открывает браузер. Но в фоновом режиме постоянно идет поток DNS-запросов — их автоматически отправляют как легальные приложения, так и вредоносные программы, о чем пользователь может не догадываться. Некоторые из этих запросов связаны с фишингом, вредоносным софтом и скрытыми ресурсами. Наша задача — пресекать такие обращения до того, как они приведут к инциденту».
Так, аномалии DNSSEC составили 25% нелегитимного трафика. Они возникают, когда проверка DNSSEC показывает, что данные по домену не проходят проверку подлинности. Для организаций это служит сигналом о возможных проблемах в настройках, а в совокупности с другими признаками может свидетельствовать о потенциально опасной активности.
На DGA-запросы приходится 6,8% неразрешенного трафика. Злоумышленники применяют их для скрытого взаимодействия вредоносного ПО и ботнетов с управляющими серверами. Вредоносные программы ежесуточно генерируют сотни и тысячи доменных имен, что делает блокировку отдельных адресов малоэффективной. Для компаний это означает, что вредоносное ПО может долгое время оставаться необнаруженным, маскируясь под случайный трафик. Технология DGA часто используется в целевых атаках для промышленного шпионажа, хищения данных и нарушения работы систем.
Еще 6% нелегитимного трафика составляют запросы, связанные с DNS Rebinding (перепривязкой DNS) — методом, при котором домен перенаправляется на иной IP-адрес. Фактически пользователь обращается к одному ресурсу, а запрос перенаправляется на другой. Такой подход позволяет злоумышленнику обходить защитные механизмы веб-приложений от SSRF, вынуждая корпоративные системы отправлять запросы к внутренним сервисам, недоступным извне.
DNS-туннелирование представляет собой специализированный, но гибкий метод для скрытой передачи данных и удалённого сетевого администрирования. В течение года система Bi.Zone Secure DNS обнаружила свыше 1000 попыток создания DNS-туннелей с целью тайного вывода информации из корпоративных сетей, включая те, что защищены системами обнаружения вторжений и анализа сетевого трафика.
