Wilt u BYOD-verkeer naar het internet bewaken op veiligheidsrisico’s? Dan moet u goed letten op DNS-verkeer, met name NXDOMAIN. De NXDOMAIN is een DNS-berichttype dat wordt ontvangen door de DNS-oplosser (d.w.z. client) wanneer een verzoek om een domein om te zetten naar de DNS wordt verzonden en niet kan worden omgezet naar een IP-adres. Een NXDOMAIN-foutbericht betekent dat het domein niet bestaat.

Waarom clients NXDOMAIN triggeren

Als u niet erg bekend bent met het DNS-proces, raad ik u aan de post te lezen met de titel Een overzicht van DNS. Hoewel een NXDOMAIN-reactie een slechte zaak kan zijn, kan deze helpen bij het opsporen van slechte actoren die proberen het intellectuele eigendom van uw bedrijf te stelen.

Interne NXDOMAIN-reacties worden gemaakt wanneer een DNS geen vermelding heeft voor het gevraagde domein. Een apparaat op het netwerk triggert een NXDOMAIN terug van de DNS om verschillende redenen:

  • Een gebruiker voert een typefout in wanneer hij een website probeert te bezoeken
  • Een applicatie op de client is verkeerd geconfigureerd
  • Een Chrome-webbrowser reikt bij het opstarten naar willekeurige lokale domeinen om te proberen kaping te detecteren
  • Een apparaat is geïnfecteerd met een bot die gebruikmaakt van een domeingenererend algoritme (DGA) om deel te nemen aan een botnet.

Sommige leveranciers zoals McAfee en SonicWall gebruiken onoplosbare domeinen op 3e, 4e, 5e, 6e, enz. niveau die niet kunnen worden opgelost als een soort van phone home dataverzamelingsmethode. Zie de onderstaande schermafbeelding:

Een client ontvangt NXDOMAIN-reacties voor een domein van het derde of vierde niveau dat hij probeert op te lossen en dat eindigt met het domein van het tweede niveau, webcfs03.com.

Hierboven ziet u een client die NXDOMAIN-reacties blijft ontvangen voor een domein van het derde of vierde niveau dat hij probeert op te lossen en dat eindigt met het domein van het tweede niveau, webcfs03.com (Dell – SonicWALL).

Wanneer we grote aantallen NXDOMAIN-antwoorden zien voor domeinen op het tweede niveau, zoals mcafee.com of webcfs03.com, en we weten dat we toepassingen van deze leveranciers op ons netwerk hebben, moeten we deze negeren of whitelisten van onze DNS NXDOMAIN-bewakingspraktijken, anders zullen er valse positieven ontstaan. Lees het bericht Security Vendors Helping Bad Actors Get Past Firewalls om te begrijpen waarom leveranciers opzettelijk NXDOMAIN-reacties triggeren door domeinen aan te spreken die niet bestaan. Het is echt slim, maar een beetje verontrustend.

Waarom u DNS NXDOMAIN moet monitoren

De reden waarom u DNS NXDOMAIN-reacties moet monitoren, is omdat sommige vormen van malware (voornamelijk bots) domeingenererende algoritmen (DGA) gebruiken om te proberen de Command and Control (C&C) te bereiken. Het is mogelijk dat honderden, en soms duizenden, verzoeken per dag worden gegenereerd door de DGA die door de malware wordt gebruikt. De meeste willekeurig gegenereerde domeinen die door een geïnfecteerde host worden aangevraagd, zullen een NXDOMAIN antwoord van de DNS triggeren. Als u DNS NXDOMAIN-verzoeken bewaakt en de score per client bijhoudt, kunt u de aandacht vestigen op verdacht gedrag, maar u moet nog steeds geen alarmsignalen afgeven zonder verder onderzoek. Je wilt tenslotte geen valse positieven en vergeet niet dat je domeinen als mcafee.com en webcfs03.com moet whitelisten als je weet dat NXDOMAIN responses voor deze domeinen noodzakelijk zijn en vereist worden door bepaalde interne softwarepakketten. Nadat u de voor de hand liggende zaken hebt uitgesloten, moet u logica toevoegen om te zoeken naar activiteiten van verdachte clients zoals:

  • Uitgaan naar een domein dat op een zwarte lijst staat omdat het een slechte reputatie heeft
  • Uitgaan naar sites zoals http://whatismyipaddress.com/ om het op internet gerichte IP-adres te bepalen dat de malware naar de C&C zendt. Hierdoor kunnen de slechte actoren achter de C&C bepalen of het geïnfecteerde bedrijf dat naar het IP-adres resolveert, de moeite waard is om te proberen dieper door te dringen met een meer gerichte aanval.

De FlowPro Defender™ is een virtuele of hardware-gebaseerde appliance die passief luistert naar IPv4- en IPv6-verkeer, flows aanmaakt en deze vervolgens op draadsnelheid doorstuurt naar de NetFlow- en IPFIX-collector.

The post Monitoring DNS NXDOMAIN appeared first on Extreme Networks.

By: adminPosted on

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.