Siete interessati a monitorare il traffico BYOD diretto a Internet per le minacce alla sicurezza? Dovreste prestare molta attenzione al traffico DNS, in particolare NXDOMAIN. L’NXDOMAIN è un tipo di messaggio DNS ricevuto dal resolver DNS (cioè il client) quando una richiesta di risoluzione di un dominio viene inviata al DNS e non può essere risolta a un indirizzo IP. Un messaggio di errore NXDOMAIN significa che il dominio non esiste.
Perché i client attivano NXDOMAIN
Se non hai molta familiarità con il processo DNS, ti consiglio di leggere il post intitolato Una panoramica del DNS. Anche se una risposta NXDOMAIN può essere una brutta cosa, può aiutare a scoprire i cattivi attori che cercano di rubare la proprietà intellettuale della tua azienda.
Le risposte NXDOMAIN interne vengono create quando un DNS non ha un elenco per il dominio richiesto. Un dispositivo sulla rete fa scattare una risposta NXDOMAIN dal DNS per diversi motivi:
- Un utente inserisce un errore di battitura quando cerca di visitare un sito web
- Un’applicazione sul client è configurata male
- Un browser web Chrome raggiunge domini locali casuali all’avvio per cercare di rilevare l’hijacking
- Un dispositivo è infettato da un bot che utilizza un algoritmo di generazione del dominio (DGA) per partecipare a una botnet.
Alcuni venditori come McAfee e SonicWall usano domini non risolvibili di 3°, 4°, 5°, 6°, ecc. livello che non possono essere risolti come un tipo di metodologia di raccolta dati telefonica. Vedi la cattura dello schermo qui sotto:
Sopra vediamo un cliente che continua a ricevere risposte NXDOMAIN per un dominio di 3° o 4° livello che sta cercando di risolvere e che termina con il dominio di 2° livello webcfs03.com (Dell – SonicWALL).
Quando vediamo un alto numero di risposte NXDOMAIN per domini di 2° livello come mcafee.com o webcfs03.com e sappiamo di avere applicazioni di questi fornitori sulla nostra rete, dobbiamo ignorarli o inserirli nella whitelist delle nostre pratiche di monitoraggio DNS NXDOMAIN o ne deriveranno falsi positivi. Leggete il post su Security Vendors Helping Bad Actors Get Past Firewalls per capire perché i venditori innescano deliberatamente risposte NXDOMAIN raggiungendo domini che non esistono. È molto intelligente, ma un po’ inquietante.
Perché dovreste monitorare DNS NXDOMAIN
La ragione per cui volete monitorare le risposte DNS NXDOMAIN è perché alcune forme di malware (in gran parte bot) sfruttano gli algoritmi di generazione dei domini (DGA) per cercare di raggiungere il Comando e Controllo (C&C). È possibile vedere centinaia, e a volte migliaia, di richieste al giorno generate dal DGA utilizzato dal malware. La maggior parte dei domini generati casualmente e richiesti da un host infetto attiverà una risposta NXDOMAIN dal DNS. Se monitorate le richieste DNS NXDOMAIN e tenete un punteggio per cliente, potete aumentare la consapevolezza dei comportamenti sospetti, ma non dovreste comunque far scattare gli allarmi senza ulteriori indagini. Dopo tutto, non volete falsi positivi e ricordate, dovete mettere in whitelist domini come mcafee.com e webcfs03.com se sapete che le risposte NXDOMAIN per questi domini sono necessarie e richieste da certi pacchetti software interni. Dopo aver escluso le cose ovvie, dovete aggiungere la logica per cercare attività da client sospetti come:
- Ricorrere a un dominio che è su una lista nera per avere una cattiva reputazione
- Ricorrere a siti come http://whatismyipaddress.com/ per determinare l’indirizzo IP rivolto a Internet che il malware invia al C&C. Questo permette ai cattivi attori dietro il C&C di determinare se l’azienda infetta che si risolve all’indirizzo IP vale la pena provare a penetrare più a fondo con un attacco più mirato.
Il FlowPro Defender™ è un’appliance virtuale o basata su hardware che ascolta passivamente il traffico IPv4 e IPv6, crea flussi e poi li invia al collettore NetFlow e IPFIX a velocità wire.
The post Monitoraggio DNS NXDOMAIN appeared first on Extreme Networks.