Está interessado em monitorizar o tráfego da BYOD que se dirige para a Internet em busca de ameaças à segurança? Você deve estar atento ao tráfego DNS, especificamente ao NXDOMAIN. O NXDOMAIN é um tipo de mensagem DNS recebida pelo resolvedor DNS (ou seja, cliente) quando um pedido para resolver um domínio é enviado para o DNS e não pode ser resolvido para um endereço IP. Uma mensagem de erro NXDOMAIN significa que o domínio não existe.
Porquê Clientes Disparam NXDOMAIN
Se você não está terrivelmente familiarizado com o processo DNS, sugiro que leia o post intitulado Uma Visão Geral do DNS. Embora uma resposta NXDOMAIN possa ser uma coisa ruim, ela pode ajudar a descobrir maus atores tentando roubar a propriedade intelectual da sua empresa.
Respostas internas NXDOMAIN são criadas quando um DNS não tem nenhuma listagem para o domínio solicitado. Um dispositivo na rede aciona um NXDOMAIN de volta do DNS por várias razões:
- Um usuário digita um erro de digitação ao tentar visitar um site
- Uma aplicação no cliente está mal configurada
- Um navegador web Chrome alcança domínios locais aleatórios na inicialização para tentar detectar hijacking
- Um dispositivo está infectado com um bot utilizando um algoritmo de geração de domínio (DGA) para participar de uma botnet.
Alguns fornecedores como McAfee e SonicWall usam domínios de terceiro, quarto, quinto, sexto, etc. não resolvidos que não podem ser resolvidos como um tipo de metodologia de coleta de dados de telefone residencial. Veja a captura de tela abaixo:
Acima vemos um cliente que continua a receber respostas NXDOMAIN para um domínio de 3º ou 4º nível que está tentando resolver que termina com o domínio de 2º nível do webcfs03.com (Dell – SonicWALL).
Quando vemos números elevados de respostas NXDOMAIN para domínios de segundo nível, como mcafee.com ou webcfs03.com, e sabemos que temos aplicativos desses fornecedores em nossa rede, precisamos ignorá-los ou fazer uma lista branca das nossas práticas de monitoramento de DNS NXDOMAIN, caso contrário, ocorrerão falsos positivos. Leia o post em Security Vendors Helping Bad Actors Get Past Firewalls para entender porque os fornecedores ativam deliberadamente as respostas NXDOMAIN, alcançando domínios que não existem. É realmente inteligente, mas um pouco perturbador.
Por que você deve monitorar DNS NXDOMAIN
A razão pela qual você quer monitorar respostas DNS NXDOMAIN é porque algumas formas de malware (em grande parte bots) alavancam algoritmos geradores de domínio (DGA) para tentar alcançar o Comando e Controle (C&C). É possível ver centenas, e às vezes milhares, de pedidos por dia sendo gerados pelo DGA utilizado pelo malware. A maioria dos domínios gerados aleatoriamente solicitados por um host infectado irá disparar uma resposta NXDOMAIN a partir do DNS. Se você monitorar os pedidos NXDOMAIN do DNS e manter a pontuação por cliente, você pode aumentar a consciência de comportamentos suspeitos, mas mesmo assim não deve acionar alarmes sem mais investigações. Afinal de contas, você não quer nenhum falso positivo e lembre-se, você tem que fazer uma lista branca de domínios como mcafee.com e webcfs03.com se você sabe que as respostas NXDOMAIN para esses domínios são necessárias e exigidas por certos pacotes de software internos. Depois de excluir as coisas óbvias, você tem que adicionar lógica para procurar atividades de clientes suspeitos como:
- Atingir um domínio que está em uma lista negra por ter uma má reputação
- Atingir sites como http://whatismyipaddress.com/ para determinar o endereço IP de Internet que o malware envia para o C&C. Isto permite que os maus agentes por trás do C&C determinem se a empresa infectada que resolve para o endereço IP vale a pena tentar penetrar mais profundamente com um ataque mais direccionado.
O FlowPro Defender™ é um dispositivo virtual ou baseado em hardware que escuta passivamente o tráfego IPv4 e IPv6, cria fluxos e depois os envia para o coletor NetFlow e IPFIX em velocidades de fio.
O post Monitoring DNS NXDOMAIN apareceu primeiro em Extreme Networks.