Máte zájem o monitorování provozu BYOD směřujícího do internetu z hlediska bezpečnostních hrozeb? Měli byste věnovat velkou pozornost provozu DNS, konkrétně NXDOMAIN. NXDOMAIN je typ zprávy DNS, kterou resolver DNS (tj. klient) obdrží, když je do DNS odeslán požadavek na překlad domény, kterou nelze přeložit na IP adresu. Chybová zpráva NXDOMAIN znamená, že doména neexistuje.
Proč klienti spouštějí NXDOMAIN
Pokud se v procesu DNS příliš nevyznáte, doporučuji vám přečíst si příspěvek s názvem Přehled DNS. Ačkoli odpověď NXDOMAIN může být špatná, může pomoci odhalit špatné subjekty, které se snaží ukrást duševní vlastnictví vaší společnosti.
Interní odpovědi NXDOMAIN se vytvářejí, když systém DNS nemá žádný výpis pro požadovanou doménu. Zařízení v síti vyvolá odpověď NXDOMAIN zpět z DNS z několika důvodů:
- Uživatel zadá překlep při pokusu o návštěvu webové stránky
- Aplikace na klientovi je chybně nakonfigurována
- Webový prohlížeč Chrome při spuštění osloví náhodné místní domény, aby se pokusil odhalit únos
- Zařízení je infikováno botem využívajícím algoritmus generování domén (DGA) za účelem zapojení do botnetu.
Někteří dodavatelé, jako například McAfee a SonicWall, používají neřešitelné domény 3., 4., 5., 6. atd. úrovně, které nelze vyřešit, jako typ metodiky sběru dat z telefonních domů. Viz snímek obrazovky níže:
Nahoře vidíme klienta, který nadále dostává odpovědi NXDOMAIN pro doménu 3. nebo 4. úrovně, kterou se snaží vyřešit a která končí doménou 2. úrovně webcfs03.com (Dell – SonicWALL).
Pokud vidíme vysoký počet odpovědí NXDOMAIN pro domény 2. úrovně, jako je mcafee.com nebo webcfs03.com, a víme, že v naší síti máme aplikace od těchto dodavatelů, musíme je ignorovat nebo zařadit na bílou listinu v našich postupech monitorování DNS NXDOMAIN, jinak dojde k falešným poplachům. Přečtěte si příspěvek na téma Prodejci zabezpečení pomáhají špatným subjektům projít přes brány firewall, abyste pochopili, proč prodejci záměrně vyvolávají reakce NXDOMAIN tím, že oslovují neexistující domény. Je to opravdu chytré, ale tak trochu znepokojivé.
Proč byste měli sledovat DNS NXDOMAIN
Důvod, proč byste měli sledovat odpovědi DNS NXDOMAIN, je ten, že některé formy malwaru (převážně boti) využívají algoritmy generování domén (DGA), aby se pokusily dosáhnout příkazu a řízení (C&C). Je možné vidět stovky a někdy i tisíce požadavků denně, které generuje DGA využívaný malwarem. Většina náhodně generovaných domén požadovaných infikovaným hostitelem vyvolá odpověď NXDOMAIN ze systému DNS. Pokud budete monitorovat požadavky DNS NXDOMAIN a vést si skóre pro jednotlivé klienty, můžete zvýšit povědomí o podezřelém chování, ale přesto byste bez dalšího vyšetřování neměli spouštět poplach. Koneckonců nechcete žádné falešné poplachy a nezapomeňte, že domény jako mcafee.com a webcfs03.com musíte zařadit na bílou listinu, pokud víte, že odpovědi NXDOMAIN pro tyto domény jsou nezbytné a vyžadují je určité interní softwarové balíčky. Po vyloučení zřejmých věcí musíte přidat logiku pro hledání aktivit podezřelých klientů, jako jsou:
- Vyhledávání domény, která je na černé listině kvůli špatné pověsti
- Vyhledávání stránek, jako je http://whatismyipaddress.com/ pro určení IP adresy směřující do internetu, kterou malware odesílá na C&C. To umožňuje zlým aktérům stojícím za C&C zjistit, zda infikovaná společnost, která se na tuto IP adresu resolvuje, stojí za pokus proniknout hlouběji pomocí cílenějšího útoku.
FlowPro Defender™ je virtuální nebo hardwarové zařízení, které pasivně naslouchá provozu IPv4 a IPv6, vytváří toky a pak je odesílá do kolektoru NetFlow a IPFIX rychlostí drátu.
The post Monitoring DNS NXDOMAIN appeared first on Extreme Networks.