用DTA照亮DNS威胁分析之路 (3)

这篇介绍了固化分析思路成为模型 以及几个内置的模型

可疑心跳域名：资产有周期性域名请求 可疑NOD：某个地方出现了一个大家都没见过的陌生人 可疑境外域名：有一个机器经常访问一个 几乎没人访问的域名 疑DNS隧道：大家都是简单的查询 有个人却带来大量的数据 持续的查询

这里大网数据发挥了一定的作用 如域名流行度 这个应该是独有的

文章中有提到一个利用EXE文件攻击MacOS的案例比较有趣 由于mac对exe的检测并没有那么严格甚至是没有 恶意程序并将payload放在exe 中通过虚拟化进行执行绕过了检测