Oletko kiinnostunut valvomaan Internetiin suuntautuvaa BYOD-liikennettä tietoturvauhkien varalta? Sinun kannattaa kiinnittää huomiota DNS-liikenteeseen, erityisesti NXDOMAINiin. NXDOMAIN on DNS-viestityyppi, jonka DNS-resolveri (eli asiakas) vastaanottaa, kun DNS:ään lähetetään verkkotunnuksen ratkaisupyyntö, jota ei voida ratkaista IP-osoitteeksi. NXDOMAIN-virhesanoma tarkoittaa, että verkkotunnusta ei ole olemassa.

Miksi asiakkaat laukaisevat NXDOMAINin

Jos et ole kovin perehtynyt DNS-prosessiin, suosittelen lukemaan postauksen otsikolla Yleiskatsaus DNS:ään. Vaikka NXDOMAIN-vastaus voi olla huono asia, se voi auttaa paljastamaan pahat toimijat, jotka yrittävät varastaa yrityksesi henkistä omaisuutta.

Sisäiset NXDOMAIN-vastaukset syntyvät, kun DNS:ssä ei ole luetteloa pyydetystä verkkotunnuksesta. Verkossa oleva laite laukaisee NXDOMAIN-vastauksen DNS:stä useista syistä:

  • Käyttäjä syöttää kirjoitusvirheen yrittäessään vierailla verkkosivustolla
  • Asiakkaan sovellus on konfiguroitu väärin
  • Chrome-verkkoselain tavoittelee satunnaisia paikallisia verkkotunnuksia käynnistyksen yhteydessä yrittäessään havaita kaappauksen
  • Laite on saanut tartunnan botista, joka käyttää verkkotunnuksen generoivaa algoritmia (domain generating algorithm (DGA)) osallistuakseen botverkkoon.

Jotkut toimittajat, kuten McAfee ja SonicWall, käyttävät ratkaisemattomia 3., 4., 5., 6. jne. tason verkkotunnuksia, joita ei voida ratkaista, eräänlaisena puhelinkotien tiedonkeruumenetelmänä. Katso alla oleva kuvakaappaus:

Asiakas saa NXDOMAIN-vastauksia 3. tai 4. tason verkkotunnukselle, jota se yrittää ratkaista ja joka päättyy 2. tason verkkotunnukseen webcfs03.com.

Yllä näkyy asiakas, joka edelleen saa NXDOMAIN-vastauksia 3. tai 4. tason verkkotunnukselle, jota se yrittää ratkaista ja joka päättyy 2. tason verkkotunnukseen webcfs03.com (Dell – SonicWALL).

Kun näemme suuren määrän NXDOMAIN-vastauksia 2. tason verkkotunnuksille, kuten mcafee.com tai webcfs03.com, ja tiedämme, että verkossamme on näiden valmistajien sovelluksia, meidän on jätettävä ne huomioimatta tai lisättävä ne valkoiselle listalle DNS:n NXDOMAIN-käytäntöjen seurannassamme, tai muutoin syntyy vääriä positiivisia tuloksia. Lue postaus Security Vendors Helping Bad Actors Get Past Firewalls ymmärtääksesi, miksi toimittajat tarkoituksellisesti laukaisevat NXDOMAIN-vastauksia tavoittamalla verkkotunnuksia, joita ei ole olemassa. Se on todella nokkelaa, mutta tavallaan huolestuttavaa.

Miksi sinun pitäisi tarkkailla DNS NXDOMAINia

Syy siihen, miksi haluat tarkkailla DNS NXDOMAIN -vastauksia, on se, että tietyt haittaohjelmien muodot (suurimmaksi osaksi botit) hyödyntävät verkkotunnuksen generoivia algoritmeja (domain generating algorithms, DGA) yrittäessään tavoittaa komento- ja ohjauspalvelimen (Command and Control, C&C). On mahdollista, että haittaohjelman käyttämä DGA tuottaa satoja ja joskus tuhansia pyyntöjä päivässä. Useimmat tartunnan saaneen isännän pyytämät satunnaisesti generoidut verkkotunnukset saavat DNS:ltä NXDOMAIN-vastauksen. Jos seuraat DNS:n NXDOMAIN-pyyntöjä ja pidät kirjaa asiakaskohtaisesti, voit lisätä tietoisuutta epäilyttävästä käyttäytymisestä, mutta hälytyksiä ei silti pitäisi laukaista ilman lisätutkimuksia. Loppujen lopuksi et halua vääriä hälytyksiä, ja muista, että sinun on lisättävä mcafee.com:n ja webcfs03.com:n kaltaiset verkkotunnukset valkoiselle listalle, jos tiedät, että näiden verkkotunnusten NXDOMAIN-vastaukset ovat välttämättömiä ja että tietyt sisäiset ohjelmistopaketit vaativat niitä. Kun olet sulkenut pois ilmeiset asiat, sinun on lisättävä logiikka, jolla etsitään epäilyttäviltä asiakkailta tulevia toimintoja, kuten:

  • Ohjautuminen verkkotunnukseen, joka on mustalla listalla, koska sillä on huono maine
  • Ohjautuminen sivustoihin, kuten http://whatismyipaddress.com/ määrittääksesi Internetiin päin osoittavan IP-osoitteen, jonka haittaohjelmat lähettävät C:lle&C. Näin C&C:n takana olevat pahantekijät voivat määrittää, kannattaako IP-osoitteeseen resolvoituvaan tartunnan saaneeseen yritykseen yrittää tunkeutua syvemmälle kohdennetummalla hyökkäyksellä.

FlowPro Defender™ on virtuaalinen tai laitteistopohjainen laite, joka kuuntelee passiivisesti IPv4- ja IPv6-liikennettä, luo virtoja ja lähettää ne sitten NetFlow- ja IPFIX-kerääjälle johtonopeudella.

The post DNS NXDOMAINin valvonta appeared first on Extreme Networks.

Vastaa

Sähköpostiosoitettasi ei julkaista.