¿Está interesado en monitorizar el tráfico BYOD que se dirige a Internet en busca de amenazas de seguridad? Debería prestar mucha atención al tráfico DNS, concretamente a NXDOMAIN. El NXDOMAIN es un tipo de mensaje DNS que recibe el resolvedor DNS (es decir, el cliente) cuando se envía una solicitud para resolver un dominio al DNS y no se puede resolver a una dirección IP. Un mensaje de error NXDOMAIN significa que el dominio no existe.

Por qué los clientes activan NXDOMAIN

Si no está muy familiarizado con el proceso DNS, le sugiero que lea el post titulado Una visión general del DNS. Aunque una respuesta NXDOMAIN puede ser algo malo, puede ayudar a descubrir a los malos actores que intentan robar la propiedad intelectual de su empresa.

Las respuestas NXDOMAIN internas se crean cuando un DNS no tiene un listado para el dominio solicitado. Un dispositivo en la red desencadena un NXDOMAIN de vuelta del DNS por varias razones:

  • Un usuario introduce un error tipográfico al intentar visitar un sitio web
  • Una aplicación en el cliente está mal configurada
  • Un navegador web Chrome llega a dominios locales aleatorios en el inicio para tratar de detectar el secuestro
  • Un dispositivo está infectado con un bot que utiliza un algoritmo de generación de dominios (DGA) para participar en una red de bots.

Algunos proveedores como McAfee y SonicWall utilizan dominios de 3er, 4to, 5to, 6to, etc. nivel irresolubles que no pueden ser resueltos como un tipo de metodología de recolección de datos telefónicos. Véase la siguiente captura de pantalla:

Un cliente recibe respuestas NXDOMAIN para un dominio de tercer o cuarto nivel que está intentando resolver y que termina con el dominio de segundo nivel de webcfs03.com.

Encima vemos un cliente que sigue recibiendo respuestas NXDOMAIN para un dominio de tercer o cuarto nivel que está intentando resolver y que termina con el dominio de segundo nivel de webcfs03.com (Dell – SonicWALL).

Cuando vemos un alto número de respuestas NXDOMAIN para dominios de 2º nivel como mcafee.com o webcfs03.com y sabemos que tenemos aplicaciones de estos proveedores en nuestra red, necesitamos ignorarlas o ponerlas en la lista blanca de nuestras prácticas de monitorización DNS NXDOMAIN o de lo contrario se producirán falsos positivos. Lee el post sobre Vendedores de seguridad que ayudan a los malos actores a pasar los cortafuegos para entender por qué los vendedores activan deliberadamente las respuestas NXDOMAIN llegando a dominios que no existen. Es realmente inteligente, pero algo inquietante.

Por qué debe supervisar el DNS NXDOMAIN

La razón por la que debe supervisar las respuestas DNS NXDOMAIN es porque algunas formas de malware (en gran parte bots) aprovechan los algoritmos de generación de dominios (DGA) para intentar llegar al Mando y Control (C&C). Es posible ver cientos, y a veces miles, de solicitudes al día generadas por el DGA utilizado por el malware. La mayoría de los dominios generados aleatoriamente solicitados por un host infectado desencadenarán una respuesta NXDOMAIN del DNS. Si supervisa las solicitudes de NXDOMAIN del DNS y lleva la cuenta por cliente, puede dar a conocer los comportamientos sospechosos, pero aún así no debería disparar las alarmas sin una investigación más profunda. Después de todo, no quieres ningún falso positivo y recuerda, tienes que poner en la lista blanca dominios como mcafee.com y webcfs03.com si sabes que las respuestas NXDOMAIN para estos dominios son necesarias y requeridas por ciertos paquetes de software internos. Después de excluir las cosas obvias, hay que añadir lógica para buscar actividades de clientes sospechosos como:

  • Llegar a un dominio que está en una lista negra por tener una mala reputación
  • Llegar a sitios como http://whatismyipaddress.com/ para determinar la dirección IP orientada a Internet que el malware envía al C&C. Esto permite a los malos actores detrás del C&C determinar si la empresa infectada que resuelve a la dirección IP vale la pena tratar de penetrar más profundamente con un ataque más dirigido.

El FlowPro Defender™ es un dispositivo virtual o basado en hardware que escucha de forma pasiva el tráfico IPv4 e IPv6, crea flujos y luego los envía al colector de NetFlow e IPFIX a velocidades de cable.

The post Monitorización de DNS NXDOMAIN appeared first on Extreme Networks.

Monitorización de DNS.

By: adminPosted on

Deja una respuesta

Tu dirección de correo electrónico no será publicada.