Er du interesseret i at overvåge BYOD-trafik på vej til internettet for sikkerhedstrusler? Du bør være meget opmærksom på DNS-trafikken, især NXDOMAIN. NXDOMAIN er en DNS-meddelelsestype, som DNS-resolver (dvs. klienten) modtager, når en anmodning om at opløse et domæne sendes til DNS og ikke kan opløses til en IP-adresse. En NXDOMAIN-fejlmeddelelse betyder, at domænet ikke eksisterer.
Hvorfor klienter udløser NXDOMAIN
Hvis du ikke er så frygtelig bekendt med DNS-processen, foreslår jeg, at du læser indlægget med titlen En oversigt over DNS. Selv om et NXDOMAIN-svar kan være en dårlig ting, kan det hjælpe med at afsløre dårlige aktører, der forsøger at stjæle din virksomheds intellektuelle ejendom.
Interne NXDOMAIN-svar oprettes, når en DNS ikke har nogen liste for det ønskede domæne. En enhed på netværket udløser en NXDOMAIN-tilbagemelding fra DNS’en af flere årsager:
- En bruger indtaster en stavefejl, når han forsøger at besøge et websted
- Et program på klienten er fejlkonfigureret
- En Chrome-webbrowser rækker ud til tilfældige lokale domæner ved opstart for at forsøge at opdage kapring
- En enhed er inficeret med en bot, der anvender en domænegenererende algoritme (DGA) for at deltage i et botnet.
Nogle leverandører som McAfee og SonicWall bruger domæner på 3., 4., 5., 6. osv. niveau, der ikke kan opløses, som en slags metode til indsamling af telefondata på hjemmefronten. Se skærmbilledet nedenfor:
Overfor ser vi en klient, der fortsat modtager NXDOMAIN-svar for et domæne på 3. eller 4. niveau, som den forsøger at løse, og som ender med domænet på 2. niveau webcfs03.com.com (Dell – SonicWALL).
Når vi ser et stort antal NXDOMAIN-svar for domæner på 2. niveau såsom mcafee.com eller webcfs03.com, og vi ved, at vi har programmer fra disse leverandører på vores netværk, skal vi ignorere eller whiteliste dem fra vores overvågning af DNS NXDOMAIN-praksis, da der ellers vil opstå falske positive resultater. Læs indlægget Security Vendors Helping Bad Actors Get Past Firewalls for at forstå, hvorfor leverandører bevidst udløser NXDOMAIN-svar ved at henvende sig til domæner, der ikke eksisterer. Det er virkelig smart, men også ret foruroligende.
Hvorfor du bør overvåge DNS NXDOMAIN
Grunden til, at du bør overvåge DNS NXDOMAIN-svar, er, at nogle former for malware (hovedsageligt bots) udnytter domænegenererende algoritmer (DGA) til at forsøge at nå Command and Control (C&C). Det er muligt at se hundredvis og nogle gange tusindvis af anmodninger om dagen, der genereres af den DGA, som malware benytter. De fleste tilfældigt genererede domæner, der anmodes om af en inficeret vært, vil udløse et NXDOMAIN-svar fra DNS. Hvis du overvåger DNS NXDOMAIN-forespørgsler og fører regnskab pr. klient, kan du øge opmærksomheden på mistænkelig adfærd, men du bør stadig ikke udløse alarmer uden yderligere undersøgelser. Du ønsker trods alt ikke falske positiver, og husk, at du skal whiteliste domæner som mcafee.com og webcfs03.com, hvis du ved, at NXDOMAIN-svar for disse domæner er nødvendige og kræves af visse interne softwarepakker. Når du har udelukket de indlysende ting, skal du tilføje logik for at kigge efter aktiviteter fra mistænkelige klienter, f.eks.:
- Søger ud til et domæne, der er på en sort liste for at have et dårligt omdømme
- Søger ud til websteder som http://whatismyipaddress.com/ for at bestemme den internetvendte IP-adresse, som malware sender til C&C. Dette giver de dårlige aktører bag C&C mulighed for at afgøre, om den inficerede virksomhed, der opløser til IP-adressen, er værd at forsøge at trænge dybere ind med et mere målrettet angreb.
FlowPro Defender™ er et virtuelt eller hardwarebaseret apparat, der passivt lytter til IPv4- og IPv6-trafik, opretter flows og derefter sender dem afsted til NetFlow- og IPFIX-kollektoren med trådhastighed.
The post Monitoring DNS NXDOMAIN appeared first on Extreme Networks.