Sind Sie daran interessiert, den BYOD-Datenverkehr im Internet auf Sicherheitsbedrohungen zu überwachen? Sie sollten dem DNS-Verkehr, insbesondere NXDOMAIN, besondere Aufmerksamkeit schenken. NXDOMAIN ist ein DNS-Meldungstyp, den der DNS-Auflöser (d. h. der Client) erhält, wenn eine Anfrage zur Auflösung einer Domäne an das DNS gesendet wird und nicht in eine IP-Adresse aufgelöst werden kann. Eine NXDOMAIN-Fehlermeldung bedeutet, dass die Domäne nicht existiert.

Warum Clients NXDOMAIN auslösen

Wenn Sie mit dem DNS-Prozess nicht sehr vertraut sind, empfehle ich Ihnen, den Beitrag mit dem Titel An Overview of DNS zu lesen. Obwohl eine NXDOMAIN-Antwort eine schlechte Sache sein kann, kann sie dazu beitragen, böse Akteure zu enttarnen, die versuchen, das geistige Eigentum Ihres Unternehmens zu stehlen.

Interne NXDOMAIN-Antworten werden erstellt, wenn ein DNS keinen Eintrag für die angeforderte Domäne hat. Ein Gerät im Netzwerk löst eine NXDOMAIN-Rückmeldung vom DNS aus verschiedenen Gründen aus:

  • Ein Benutzer gibt einen Tippfehler ein, wenn er versucht, eine Website zu besuchen
  • Eine Anwendung auf dem Client ist falsch konfiguriert
  • Ein Chrome-Webbrowser greift beim Start auf zufällige lokale Domains zu, um Hijacking zu erkennen
  • Ein Gerät ist mit einem Bot infiziert, der einen Domain-Generierungsalgorithmus (DGA) verwendet, um an einem Botnet teilzunehmen.

Einige Anbieter wie McAfee und SonicWall verwenden unauflösbare Domains der 3., 4., 5., 6. usw. Ebene, die nicht aufgelöst werden können, als eine Art Methode zum Sammeln von Telefon-Hausdaten. Siehe die folgende Bildschirmaufnahme:

Ein Client erhält NXDOMAIN-Antworten für eine Domäne der 3. oder 4. Ebene, die er aufzulösen versucht und die mit der Domäne der 2. Ebene webcfs03.com endet.

Oben sehen wir einen Client, der weiterhin NXDOMAIN-Antworten für eine Domäne der 3. oder 4.com (Dell – SonicWALL).

Wenn wir eine hohe Anzahl von NXDOMAIN-Antworten für Domänen der zweiten Ebene wie mcafee.com oder webcfs03.com sehen und wir wissen, dass wir Anwendungen dieser Anbieter in unserem Netzwerk haben, müssen wir sie ignorieren oder auf eine Whitelist setzen, da es sonst zu Fehlalarmen kommt. Lesen Sie den Beitrag Security Vendors Helping Bad Actors Get Past Firewalls, um zu verstehen, warum Anbieter absichtlich NXDOMAIN-Antworten auslösen, indem sie Domains ansteuern, die nicht existieren. Das ist wirklich clever, aber auch irgendwie beunruhigend.

Warum Sie DNS NXDOMAIN überwachen sollten

Der Grund, warum Sie DNS NXDOMAIN-Antworten überwachen sollten, liegt darin, dass einige Formen von Malware (hauptsächlich Bots) Domain-Generierungsalgorithmen (DGA) nutzen, um zu versuchen, die Command and Control (C&C) zu erreichen. Es ist möglich, dass der von der Malware genutzte DGA Hunderte, manchmal Tausende von Anfragen pro Tag generiert. Die meisten zufällig generierten Domänen, die von einem infizierten Host angefordert werden, lösen eine NXDOMAIN-Antwort vom DNS aus. Wenn Sie die NXDOMAIN-Anfragen des DNS überwachen und die Ergebnisse pro Client aufzeichnen, können Sie das Bewusstsein für verdächtige Verhaltensweisen schärfen, sollten aber dennoch nicht ohne weitere Untersuchungen Alarm schlagen. Schließlich wollen Sie keine Fehlalarme, und denken Sie daran, dass Sie Domänen wie mcafee.com und webcfs03.com auf die Whitelist setzen müssen, wenn Sie wissen, dass NXDOMAIN-Antworten für diese Domänen notwendig sind und von bestimmten internen Softwarepaketen benötigt werden. Nachdem Sie die offensichtlichen Dinge ausgeschlossen haben, müssen Sie eine Logik hinzufügen, um nach Aktivitäten von verdächtigen Clients zu suchen, wie z. B.:

  • Erreichen einer Domäne, die auf einer schwarzen Liste steht, weil sie einen schlechten Ruf hat
  • Erreichen von Websites wie http://whatismyipaddress.com/, um die dem Internet zugewandte IP-Adresse zu bestimmen, die die Malware an den C&C sendet. Auf diese Weise können die bösartigen Akteure hinter dem C&C feststellen, ob es sich lohnt, mit einem gezielteren Angriff tiefer in das infizierte Unternehmen einzudringen, das zu dieser IP-Adresse auflöst.

Der FlowPro Defender™ ist eine virtuelle oder hardwarebasierte Appliance, die passiv den IPv4- und IPv6-Verkehr abhört, Flows erstellt und diese dann mit Leitungsgeschwindigkeit an den NetFlow- und IPFIX-Kollektor sendet.

The post Monitoring DNS NXDOMAIN appeared first on Extreme Networks.

By: adminPosted on

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.