2026年2月,微软披露了一种新的ClickFix攻击变种。它让不少安全团队重新看了一眼DNS这条老通道。
过去,恶意软件下发通常依赖HTTP或HTTPS请求,安全设备也会重点检查这类Web流量。这次攻击者换了办法:诱导用户在Windows的“运行”对话框里执行一条nslookup命令。DNS查询返回的结果里带着编码后的PowerShell指令,后续执行也就跟着发生了。整个过程中没有常见的Web请求,也没有显眼的文件下载,表面上只是一次普通的DNS响应。
这件事麻烦的地方在于,攻击链被提前到了DNS层。很多防火墙和EDR长期盯着HTTP/S,看DNS往往没有那么严,因为它本来就是基础协议,通常默认放行。攻击者正是利用了这一点,把DNS从解析工具变成了下发指令的通道。
如果想在这一层提早发现问题,重点就不只是看域名本身,还要看DNS响应里涉及的IP。IP数据云离线库可以用来解析这些IP的网络类型、ASN归属和风险特征,帮助安全团队在载荷真正落地前,多拿到一点判断依据。
一、DNS攻击链前置到解析层:攻击者正在怎么做?
DNS协议在防火墙中几乎总是被允许通过的。攻击者正是利用这一特性,将DNS从“解析协议”升级为“攻击通道”。
1.1ClickFix变种:把指令藏进DNS响应里
微软在2026年2月披露的这个ClickFix变种,就是比较典型的例子。攻击者先诱导用户执行一条nslookup命令,请求被发到攻击者控制的DNS解析器。随后,DNS响应里返回一段经过编码的PowerShell内容,用户继续执行后,恶意载荷就完成了落地。
这类攻击能绕过不少传统检测,原因很直接:很多安全工具重点关注的是HTTP/S请求、可执行文件和脚本落地过程,而不会对每一条DNS响应做同等强度的内容检查。从数据包层面看,这些响应未必比普通DNS流量更显眼。
1.2DNS隧道:将C2通信隐藏在正常查询中
攻击者将C2指令直接嵌入DNS TXT或A记录响应中。恶意软件通过看似正常的递归查询“向C2服务器汇报”,而不检查DNS响应内容的安全工具,只会依据域名信誉放行。
更隐蔽的是,攻击者采用 “DNS协商+HTTP传输”的混合策略:先利用DNS子域编码实现轻量级存活探测,再通过伪造浏览器特征发起HTTPS请求完成高带宽交互。
DNS被拿来做攻击链的一部分,并不算少见。它早就不只是一个“查域名”的协议了。
二、三步定位法:用IP离线库在DNS解析阶段阻断攻击链
当攻击链前置到DNS层,防御的唯一窗口就是DNS请求/响应发生的那个瞬间。
第一步:从DNS日志中提取异常查询
从DNS服务器或网络流量采集设备导出异常时段内的查询日志,重点关注:
- 单一源IP查询频率突增的客户端
- 请求超长域名的查询
- 使用TXT、NULL等异常记录类型的查询
SELECT client_ip, COUNT(*) as query_cnt,
AVG(LENGTH(qname)) as avg_domain_len,
SUM(CASE WHEN qtype IN ('TXT','NULL','MX') THEN 1 ELSE 0 END) as abnormal_type_cnt
FROM dns_logs
WHERE timestamp >= NOW() - INTERVAL 1 HOUR
GROUP BY client_ip
HAVING query_cnt > 500 OR avg_domain_len > 50 OR abnormal_type_cnt > 10
ORDER BY query_cnt DESC;
如果同一个客户端在短时间里发起了大量DNS查询,而且子域里还夹着明显的随机内容,这通常已经不是普通业务流量了,更像DNS隧道或C2探测。
第二步:用IP离线库解析C2服务器画像
拿到可疑域名列表后,关键一步是提取该域名解析的目标IP,然后用IP离线库进行定性分析。以下Python代码使用离线库批量查询C2服务器的网络类型、ASN归属和风险评分:
import ipdatacloud
ip_lib = ipdatacloud.OfflineIPLib('/data/ipdb/ip_data_cloud.mmdb', enable_risk=True)
def analyze_c2_servers(ip_list):
results = [ ]
for ip in ip_list:
info = ip_lib.query(ip)
results.append({
'ip': ip,
'net_type': info.get('net_type'), # 数据中心/住宅/移动
'risk_score': info.get('risk_score', 0), # 0-100
'asn': info.get('asn'),
'asn_org': info.get('asn_org')
})
return results
suspected_c2_ips = ['45.33.22.11', '103.233.147.1', '94.156.232.40']
analysis = analyze_c2_servers(suspected_c2_ips)
c2_candidates = [r for r in analysis if r['net_type'] == '数据中心' and r['risk_score'] > 70]
print(f"发现 {len(c2_candidates)} 个可疑C2服务器")
判断逻辑:
- 数据中心IP+风险评分>70→高置信度C2
- ASN归属云服务商→攻击者常用云主机搭建C2
识别出C2服务器IP的归属地、网络类型和ASN,就等于拿到了攻击者基础设施的“身份证”。
第三步:ASN聚类分析,锁定攻击基础设施
攻击者通常在同一ASN下部署多台C2服务器。将可疑C2 IP按ASN聚合后,若多个IP属于同一ASN且均为数据中心类型,可判断该ASN被攻击者用于托管C2基础设施。你可以在云防火墙或安全网关里先对相关ASN做临时封禁或重点审计,处理效率会高很多。
三、总结
DNS攻击链前置到解析层,本质是攻击者利用“DNS几乎总被放行”的信任缺口,把恶意载荷隐藏在协议响应中,绕过了传统安全工具的检查。ClickFix这类变种把PowerShell指令藏进DNS响应,DNS隧道则把C2通信伪装成普通查询。它们的共同点不是花哨,而是足够贴近正常流量,能绕开很多依赖传统边界检测的手段。
防御DNS攻击链前置的核心,是在DNS解析阶段完成C2基础设施的定性。离线库帮助安全团队在分钟级完成 “提取异常DNS日志→离线库批量解析C2服务器IP→ASN聚类分析” 的排查链路,是DNS层主动防御的数据底座。
