Как злоумышленники используют DNS для управления ботнетами и C2-коммуникаций

изображение: recraft
DNS — один из базовых протоколов интернета. Он нужен для того, чтобы пользователь мог открыть сайт по доменному имени, а приложение — найти нужный сервер. В нормальной инфраструктуре DNS работает почти незаметно: запрос ушел, домен разрешился в IP-адрес, соединение установилось.
Именно эта привычная «невидимость» DNS делает его удобным для злоумышленников: протокол почти всегда разрешен в корпоративных сетях и редко воспринимается как канал угроз. Через DNS проходят первые признаки заражения, обращения к командным серверам, DGA-активность, туннели и скрытая передача данных.
Для ИБ DNS важен тем, что показывает намерение устройства обратиться к внешней инфраструктуре еще до полноценного обмена данными. Поэтому DNS-мониторинг — один из ключевых источников для обнаружения ботнетов и C2-коммуникаций.
Что такое ботнет и C2
Ботнет — сеть зараженных устройств (рабочие станции, серверы, IoT), которыми злоумышленник управляет удаленно. После заражения устройство становится «ботом» и выполняет команды: участвует в DDoS-атаках, рассылает спам, собирает данные.
C2 (Command and Control) — инфраструктура командного управления, через которую оператор передает команды и получает ответы. C2-канал может быть построен через HTTP, HTTPS, мессенджеры, облачные сервисы или DNS.
DNS в этой схеме может выполнять несколько ролей:
- помогать боту найти актуальный адрес командного сервера;
- использоваться как канал коротких управляющих сообщений;
- применяться для передачи данных через DNS-запросы и ответы;
- маскировать C2-активность под обычный сетевой шум;
- помогать оператору ботнета быстро менять инфраструктуру.
Важно понимать: DNS не является вредоносным сам по себе. Это легитимный протокол, без которого не работает большая часть современной сети. Проблема возникает тогда, когда его используют не только для разрешения доменных имен, но и как скрытый канал управления.
Прежде чем устройство начнет получать команды от оператора, оно должно попасть в ботнет — обычно через уязвимости в ПО, фишинг или скомпрометированные сайты. После заражения узел становится частью управляемой сети и может рассылать спам, участвовать в DDoS-атаках, собирать данные или майнить криптовалюту. Поэтому обращение к C2-домену в DNS-логах часто указывает не на начало атаки, а на следующий этап — попытку получить инструкции или восстановить связь с управляющей инфраструктурой.
Почему злоумышленники выбирают DNS
DNS привлекателен для атакующих, потому что почти всегда разрешен в корпоративных сетях. Исходящие DNS-запросы считаются технически необходимыми и не фильтруются строго. Даже в сегментах с жесткими ограничениями DNS оставляют доступным, так как без него сервисы работают некорректно. Когда прямое соединение с C2 блокируется, DNS остается каналом для поиска командного сервера.
Дополнительная сложность в том, что DNS-трафик трудно анализировать вручную. В крупной компании генерируется множество легитимных запросов от пользователей, приложений, API, систем обновлений и облачных сервисов. Вредоносная активность маскируется под технический шум. Подозрительные признаки проявляются только при анализе поведения устройства в динамике.
Еще одна причина, по которой DNS удобен для злоумышленников, связана с ранними этапами атаки. Зараженному устройству часто нужно понять, куда подключиться, и для этого оно обращается к домену C2-инфраструктуры. Если компания контролирует DNS-запросы, она может заметить этот момент до того, как вредоносное ПО установит полноценное соединение. Это особенно важно для раннего реагирования: запрос к подозрительному домену может стать первым сигналом компрометации даже в ситуации, когда EDR еще не сформировал критичный алерт, а NGFW видит только часть контекста.
Кроме того, DNS помогает злоумышленникам поддерживать устойчивость своей инфраструктуры. Если защитники блокируют один IP-адрес, оператор ботнета может быстро сменить его, оставив домен прежним. Если блокируется домен, вредоносное ПО может использовать резервные домены или DGA. Такой подход усложняет статическую блокировку: защитникам приходится анализировать не только отдельные индикаторы, но и поведение устройства — как оно ищет домены, как часто получает ошибки, какие имена генерирует и к каким зонам обращается.

В централизованной схеме зараженные устройства обращаются к одному или нескольким командным серверам, поэтому для защитников критически важно вовремя обнаружить и заблокировать такие домены.
В распределенных P2P-сетях единая точка управления отсутствует: зараженные узлы могут передавать команды друг другу, а значит, нейтрализовать такую сеть сложнее. В гибридных схемах оба подхода сочетаются: часть команд идет через центральную инфраструктуру, а часть распространяется между зараженными устройствами.
Для DNS-мониторинга это означает, что искать нужно не только один известный C2-домен, но и более широкий набор признаков.
Основные сценарии использования DNS в ботнетах и C2

DNS может использоваться злоумышленниками по-разному. Рассмотрим основные сценарии и признаки, по которым такую активность можно заметить.
1. Поиск командного сервера через доменное имя
Самый простой сценарий: зараженное устройство обращается к домену, который указывает на командный сервер. DNS в этом случае используется по прямому назначению — для получения IP-адреса.
Схема выглядит так:
- Устройство заражается вредоносным ПО;
- Вредоносное ПО пытается обратиться к заранее заданному домену;
- DNS возвращает IP-адрес командного сервера;
- Устройство устанавливает соединение и получает команды.
Такой сценарий относительно прост для обнаружения, если домен уже известен как вредоносный. Однако злоумышленники часто используют новые домены, скомпрометированные легитимные ресурсы, быстрые смены IP-адресов и промежуточную инфраструктуру, чтобы усложнить блокировку.
2. DGA-домены для восстановления управления
DGA, или Domain Generation Algorithm — алгоритм, с помощью которого вредоносное ПО периодически генерирует списки доменов для обращения к C2. Оператору ботнета достаточно зарегистрировать один или несколько доменов из этой последовательности. Домены DGA заранее неизвестны защитникам: большая часть запросов завершается ошибкой NXDOMAIN, но если один домен окажется активным, бот получит адрес командного сервера.
В DNS-логах DGA может проявляться через:
- множество запросов к случайно выглядящим доменам;
- высокий процент NXDOMAIN-ответов;
- повышенную энтропию доменных имен;
- повторяющиеся попытки обращения через равные интервалы;
- отсутствие похожей активности у других устройств того же типа.
DGA демонстрирует, что статические списки блокировок неэффективны против динамически генерируемых доменов и для защиты требуется поведенческий анализ.
3. DNS beaconing
Beaconing — регулярная связь зараженного устройства с внешней инфраструктурой через DNS, при которой бот периодически отправляет короткие сигналы для проверки статуса или получения команд.
Через DNS это выглядит как регулярные запросы к одному домену или группе доменов с небольшой периодичностью (например, каждые несколько минут, даже ночью, когда пользователь не работает).
Признаки DNS beaconing:
- повторяющиеся запросы с похожими интервалами;
- активность в нерабочее время;
- обращения от пользовательского устройства к редкому домену;
- одинаковый паттерн на нескольких зараженных узлах;
- сохранение активности после перезагрузки;
- связь с другими событиями на хосте.
Beaconing сложно отличить от легитимной активности, поэтому важен контекст: кто делает запрос, к какому домену, с какой частотой, какие процессы активны на устройстве и происходят ли сетевые соединения после DNS-запроса.
4. DNS-туннелирование
DNS-туннелирование представляет собой использование DNS-запросов и ответов для передачи данных или команд в обход традиционных каналов связи. В ботнетах DNS-туннели используются для обмена командами и скрытой передачи данных.
Обычно подозрительная активность проявляется не в одном запросе, а в паттерне:
- очень длинные поддомены;
- большое количество уникальных поддоменов у одного базового домена;
- необычные типы записей, например TXT;
- повышенная энтропия строк;
- частые запросы к одному домену с разными поддоменами;
- регулярная активность от одного устройства;
- объем DNS-запросов выше нормы для данного типа узла.
Например, если рабочая станция постоянно обращается к поддоменам, которые выглядят как наборы случайных символов, и все они относятся к одной внешней зоне, это повод для проверки. Особенно если такие запросы идут регулярно, имеют большую длину и не похожи на работу известного облачного сервиса.
DNS-туннелирование маскируется под обычное разрешение имен, поэтому для его обнаружения недостаточно блок-листов. Необходим анализ структуры доменов, частоты запросов и поведения устройства.
5. Использование TXT-записей и других типов DNS-ответов
DNS поддерживает разные типы записей, и большинство из них используются для легитимных задач: A и AAAA — для разрешения доменных имен, MX — для почты, CNAME — для алиасов. Однако злоумышленники могут применять некоторые типы — в частности TXT — для передачи небольших фрагментов данных зараженным устройствам в обход традиционных каналов связи. Сам факт такого запроса не является вредоносным: всё решает контекст.
Подозрительными могут быть:
- TXT-запросы к новым или редким доменам;
- большое количество TXT-запросов от одного устройства;
- TXT-запросы в нерабочее время;
- ответы с необычной структурой;
- сочетание TXT-запросов с длинными поддоменами;
- связь с другими признаками компрометации.
6. Fast Flux и частая смена IP-адресов
Вредоносная инфраструктура может использовать домены, которые быстро меняют связанные IP-адреса. Это затрудняет блокировку по IP и помогает скрывать реальное расположение командного сервера.
В DNS-данных такие домены могут иметь:
- короткий TTL;
- частую смену IP-адресов;
- множество связанных адресов;
- распределение по разным автономным системам;
- связь с хостингами, которые часто используются для временной инфраструктуры;
- короткий срок жизни домена.
Fast Flux не всегда используется только в ботнетах, а короткий TTL может быть нормален для CDN и облачных сервисов. Поэтому важно не делать вывод по одному признаку. Но если короткий TTL сочетается с низкой репутацией домена, DGA-признаками и обращениями от зараженного устройства, риск повышается.
7. Обход корпоративного DNS через внешние резолверы и DoH
Некоторые вредоносные программы могут пытаться обходить корпоративные DNS-политики, обращаясь к внешним резолверам или используя шифрованный DNS. Сам по себе DoH или DoT не является вредоносным: эти технологии помогают защищать приватность и целостность DNS-запросов. Но в корпоративной сети их неконтролируемое использование может снижать видимость для ИБ-команды.
Если устройство отправляет DNS-запросы не через корпоративный резолвер, а напрямую к внешнему DNS-сервису, защитники могут потерять часть журналов и политик блокировки. Поэтому важно управлять тем, какие резолверы разрешены, какие исключения допустимы и как контролируется шифрованный DNS.
Признаки обхода:
- запросы к публичным DNS-резолверам;
- HTTPS-соединения к известным DoH-endpoint;
- снижение объема видимого DNS-трафика при сохранении сетевой активности;
- разные DNS-ответы у корпоративного резолвера и устройства;
- активность приложений, которые используют собственные DNS-настройки.
Какие следы C2 через DNS оставляет в логах

DNS-C2 редко проявляется одним индикатором — это набор признаков, которые вместе складываются в подозрительную картину.
Первый уровень анализа — данные о домене. Подозрение вызывает домен, зарегистрированный недавно, впервые появившийся в корпоративной инфраструктуре, с низкой репутацией или из источников киберразведки. Важно учитывать историю разрешения: с какими IP-адресами он был связан, как часто менялись адреса, к каким автономным системам они относились. Если домен быстро меняет IP-адреса, связан с подозрительными сетями или похож на легитимный бренд, это повод для дополнительной проверки.
Второй важный слой — данные о самом DNS-запросе. Для расследования имеет значение, когда был сделан запрос, с какого IP-адреса он пришел, какое устройство или пользователь его инициировали, какой тип записи запрашивался и какой код ответа вернул DNS-сервер. Например, большое количество NXDOMAIN-ответов от одного устройства может указывать на DGA-активность, когда вредоносное ПО перебирает сгенерированные домены в поисках активного C2-сервера. Длинные доменные имена, большое количество уровней поддоменов, случайно выглядящие строки и повторяющиеся запросы через равные интервалы могут быть признаками DNS-туннелирования или beaconing.
Отдельно важно анализировать контекст устройства. Один и тот же DNS-запрос имеет разный смысл в зависимости от того, кто его инициировал: для сервера обновлений регулярные обращения — норма, для кассового терминала — подозрительно. Важно учитывать роль устройства, активность в нерабочее время, сетевые соединения после DNS-запроса. Если узел стал частью ботнета, это редко проявляется одним запросом — устройство может генерировать нетипичный трафик, обращаться к внешним адресам в периоды бездействия, запускать неизвестные процессы. Изменение обычного DNS-профиля (всплеск запросов, новые домены, внешние резолверы) также требует внимания.
Ни один признак не является стопроцентным доказательством C2 — каждый может иметь легитимное объяснение. Поэтому эффективное обнаружение строится на сопоставлении нескольких факторов: репутации домена, структуры запроса, поведения устройства и событий из других средств защиты. DNS-логи показывают, куда устройство пыталось обратиться, а данные EDR, NGFW и SIEM помогают понять контекст — так подозрительное событие превращается из отдельной записи в часть полноценной картины инцидента.
Как обнаружить DNS—C2 и ботнет-активность
Для защиты от C2 через DNS нужен не один метод, а сочетание нескольких подходов.
1. Репутационная блокировка
Базовый уровень — блокировка известных вредоносных доменов, C2-инфраструктуры, фишинговых доменов, ботнетов и доменов, связанных с вредоносным ПО.
Это важный слой защиты, но он не должен быть единственным. Известные индикаторы хорошо работают против уже обнаруженных кампаний, но хуже помогают против новых доменов, DGA и временной инфраструктуры.
2. Анализ DGA
DGA-детектирование строится на анализе доменных имен и поведения устройства. Используются признаки вроде длины имени, энтропии, сочетаний символов, частоты ошибок NXDOMAIN, количества новых доменов и повторяемости запросов.
Для повышения точности DGA-анализ лучше совмещать с контекстом: роль устройства, история активности, возраст домена, репутация, сетевые соединения после успешного разрешения.
3. Поиск DNS-туннелей
Для выявления DNS-туннелирования анализируют:
- длину поддоменов;
- количество уникальных поддоменов;
- частоту запросов;
- типы записей;
- энтропию строк;
- объем DNS-трафика;
- соотношение успешных и неуспешных ответов;
- повторяемость запросов к одному базовому домену.
Важно учитывать легитимные исключения: CDN, облачные сервисы, системы аналитики и некоторые корпоративные приложения тоже могут генерировать сложные доменные структуры.
4. Выявление beaconing
Для поиска beaconing полезен анализ периодичности. Если устройство обращается к одному и тому же домену с регулярным интервалом, это может указывать на keepalive-сигналы или проверку команд.
Однако регулярные запросы характерны и для легитимных приложений. Поэтому аналитик должен смотреть, известен ли домен, какие устройства к нему обращаются, является ли он частью разрешенного ПО, есть ли активность в нерабочее время и что происходит после DNS-запроса.
5. Контроль новых и редких доменов
Недавно зарегистрированные домены и домены, впервые появившиеся в корпоративной сети, требуют отдельного внимания. Они часто используются в фишинге, вредоносных кампаниях и временной C2-инфраструктуре.
Полезные признаки:
- домен создан недавно;
- домен впервые замечен в компании;
- к домену обращается ограниченное число устройств;
- домен похож на бренд или корпоративный ресурс;
- после обращения происходят сетевые соединения или загрузки;
- домен связан с IP-адресами низкой репутации.
6. Корреляция с EDR, NGFW и SIEM
DNS показывает попытку обращения, но для полноценного расследования полезно будет связать ее с другими источниками:
- какой процесс инициировал активность;
- было ли сетевое соединение после DNS-запроса;
- скачивались ли файлы;
- были ли события аутентификации;
- появлялись ли новые службы или задачи;
- срабатывали ли EDR/NGFW;
- были ли похожие события у других устройств.
Благодаря корреляции DNS-событие превращается в полноценную картину инцидента.
Пример расследования DNS—C2
Представим, что система DNS-мониторинга фиксирует: рабочая станция из отдела продаж каждые 10 минут обращается к редкому домену. Домен появился в инфраструктуре впервые, имеет короткую историю и не относится к используемым бизнес-сервисам. Периодичность сохраняется ночью, когда пользователь не работает.
Действия аналитика:
- Проверить домен по репутационным источникам и Passive DNS.
- Посмотреть, какие еще устройства обращались к этому домену.
- Оценить периодичность запросов и типы DNS-записей.
- Проверить, были ли успешные сетевые соединения после DNS-ответа.
- Найти процесс на устройстве, который инициировал активность.
- Проверить EDR-события: запуск новых файлов, скриптов, задач планировщика.
- Сопоставить активность с почтой: не было ли фишингового письма перед началом запросов.
- Изолировать устройство при подтверждении риска.
- Заблокировать домен и связанные индикаторы.
- Проверить ретроспективно, были ли похожие паттерны в сети.
Такой процесс помогает не только закрыть инцидент, но и улучшить правила обнаружения: добавить похожие домены, настроить алерты по периодичности, усилить контроль новых доменов и уточнить базовый профиль активности пользовательских устройств.
Как снизить риск C2-коммуникацию через DNS

Защита от DNS-C2 должна сочетать профилактику, мониторинг и реагирование. Основными способами снизить риск C2-коммуникации являются:
- Использование защищенных корпоративных резолверов — все устройства должны использовать утвержденные DNS-резолверы. Прямые обращения к внешним DNS-сервисам стоит ограничивать или контролировать. Это помогает сохранить видимость запросов и применять единые политики безопасности.
- Блокировка вредоносных и подозрительных доменов — DNS-защита должна блокировать известные C2-домены, фишинг, вредоносное ПО, ботнеты, DGA, cryptojacking, недавно созданные домены и другие категории риска. Важно, чтобы правила регулярно обновлялись. Необходимо закрывать не только сам C2-канал, но и условия, которые позволяют устройству попасть в ботнет.
- Контроль DGA, NXDOMAIN и DNS-туннелей — высокая доля NXDOMAIN, случайно выглядящие домены, длинные поддомены, необычные типы записей и повышенная энтропия должны попадать в мониторинг. Такие признаки особенно важны для серверов и рабочих станций, которые раньше не проявляли подобного поведения.
- Интеграция DNS-событий с SIEM и SOC — DNS-события должны попадать в общий контур мониторинга. Но лучше передавать не весь шум, а обогащенные события: подозрительный домен, источник, категория, репутация, причина блокировки, связанные устройства, история активности.
- Проведение ретроспективного анализа — если новый C2-домен обнаружен сегодня, важно проверить, не обращались ли к нему устройства раньше. Ретроспективный поиск по DNS-логам помогает понять масштаб инцидента и время первой активности.
- Разделение мониторинга по типам устройств — для серверов, рабочих станций, IoT, сетевого оборудования и гостевых устройств должны быть разные базовые линии поведения. То, что нормально для сервера обновлений, может быть подозрительно для кассового терминала или камеры видеонаблюдения.

Что важно запомнить
DNS давно перестал быть просто служебным протоколом. Для злоумышленников это удобный способ искать командные серверы, поддерживать связь с зараженными устройствами, использовать DGA-домены, передавать короткие управляющие сигналы и скрывать активность в обычном сетевом шуме.
Для ИБ-команд DNS — это ранний и информативный источник данных. Он показывает первый запрос к внешней инфраструктуре, помогает обнаруживать ботнеты, C2-коммуникации, DNS-туннели, DGA и попытки обхода корпоративных политик.
Эффективная защита строится не на одном механизме, а на сочетании подходов: защищенные резолверы, блокировка вредоносных доменов, анализ аномалий, контроль DGA, поиск DNS-туннелей, интеграция с SIEM и корреляция с EDR, NGFW и другими средствами защиты.
Автор: Андрей Корепов, младший специалист по информационной безопасности SkyDNS.



