Vous êtes intéressé par la surveillance du trafic BYOD dirigé vers Internet pour détecter les menaces de sécurité ? Vous devriez prêter une attention particulière au trafic DNS, plus précisément au NXDOMAIN. Le NXDOMAIN est un type de message DNS reçu par le résolveur DNS (c’est-à-dire le client) lorsqu’une demande de résolution d’un domaine est envoyée au DNS et ne peut être résolue en une adresse IP. Un message d’erreur NXDOMAIN signifie que le domaine n’existe pas.
Pourquoi les clients déclenchent NXDOMAIN
Si vous n’êtes pas terriblement familier avec le processus DNS, je vous suggère de lire le post intitulé Un aperçu du DNS. Bien qu’une réponse NXDOMAIN puisse être une mauvaise chose, elle peut aider à découvrir les mauvais acteurs qui tentent de voler la propriété intellectuelle de votre entreprise.
Les réponses NXDOMAIN internes sont créées lorsqu’un DNS n’a pas de listing pour le domaine demandé. Un périphérique sur le réseau déclenche un retour NXDOMAIN de la part du DNS pour plusieurs raisons :
- Un utilisateur saisit une faute de frappe en essayant de visiter un site web
- Une application sur le client est mal configurée
- Un navigateur web Chrome atteint des domaines locaux aléatoires au démarrage pour essayer de détecter un détournement
- Un dispositif est infecté par un bot utilisant un algorithme de génération de domaine (DGA) afin de participer à un botnet.
Certains fournisseurs tels que McAfee et SonicWall utilisent des domaines de 3e, 4e, 5e, 6e, etc. niveaux impossibles à résoudre comme un type de méthodologie de collecte de données par téléphone. Voir la capture d’écran ci-dessous :
Au-dessus, nous voyons un client qui continue de recevoir des réponses NXDOMAIN pour un domaine de 3e ou 4e niveau qu’il essaie de résoudre et qui se termine par le domaine de 2e niveau de webcfs03.com (Dell – SonicWALL).
Lorsque nous voyons un nombre élevé de réponses NXDOMAIN pour des domaines de 2e niveau tels que mcafee.com ou webcfs03.com et que nous savons que nous avons des applications de ces fournisseurs sur notre réseau, nous devons les ignorer ou les inscrire sur une liste blanche de nos pratiques de surveillance DNS NXDOMAIN, sinon de faux positifs s’ensuivront. Lisez le billet intitulé Security Vendors Helping Bad Actors Get Past Firewalls pour comprendre pourquoi les fournisseurs déclenchent délibérément des réponses NXDOMAIN en s’adressant à des domaines qui n’existent pas. C’est vraiment intelligent, mais en quelque sorte inquiétant.
Pourquoi vous devriez surveiller les DNS NXDOMAIN
La raison pour laquelle vous voulez surveiller les réponses DNS NXDOMAIN est que certaines formes de logiciels malveillants (en grande partie des bots) exploitent les algorithmes de génération de domaine (DGA) pour essayer d’atteindre le commandement et le contrôle (C&C). Il est possible de voir des centaines, voire des milliers, de demandes par jour générées par le DGA utilisé par le malware. La plupart des domaines générés de manière aléatoire demandés par un hôte infecté déclencheront une réponse NXDOMAIN du DNS. Si vous surveillez les requêtes NXDOMAIN du DNS et que vous tenez un compte par client, vous pouvez attirer l’attention sur les comportements suspects, mais vous ne devez pas déclencher d’alarmes sans enquête approfondie. Après tout, vous ne voulez pas de faux positifs et n’oubliez pas que vous devez mettre sur liste blanche des domaines comme mcafee.com et webcfs03.com si vous savez que les réponses NXDOMAIN pour ces domaines sont nécessaires et requises par certains logiciels internes. Après avoir exclu les éléments évidents, vous devez ajouter une logique pour rechercher les activités des clients suspects telles que :
- Atteindre un domaine qui figure sur une liste noire pour avoir une mauvaise réputation
- Atteindre des sites tels que http://whatismyipaddress.com/ pour déterminer l’adresse IP tournée vers Internet que le logiciel malveillant envoie sur le C&C. Cela permet aux mauvais acteurs derrière le C&C de déterminer si l’entreprise infectée qui se résout à l’adresse IP vaut la peine d’essayer de pénétrer plus profondément avec une attaque plus ciblée.
Le FlowPro Defender™ est une appliance virtuelle ou matérielle qui écoute passivement le trafic IPv4 et IPv6, crée des flux, puis les envoie au collecteur NetFlow et IPFIX à des vitesses filaires.
The post Monitoring DNS NXDOMAIN appeared first on Extreme Networks.