Czy jesteś zainteresowany monitorowaniem ruchu BYOD kierowanego do Internetu pod kątem zagrożeń bezpieczeństwa? Powinieneś zwrócić uwagę na ruch DNS, a w szczególności na NXDOMAIN. NXDOMAIN jest typem komunikatu DNS otrzymywanym przez DNS resolver (tj. klienta), gdy żądanie rozwiązania domeny jest wysyłane do DNS i nie może być rozwiązane na adres IP. Komunikat błędu NXDOMAIN oznacza, że domena nie istnieje.

Why Clients Trigger NXDOMAIN

Jeśli nie jesteś strasznie zaznajomiony z procesem DNS, proponuję przeczytać post zatytułowany An Overview of DNS. Chociaż odpowiedź NXDOMAIN może być złą rzeczą, może ona pomóc odkryć złych aktorów próbujących ukraść własność intelektualną Twojej firmy.

Wewnętrzne odpowiedzi NXDOMAIN są tworzone, gdy DNS nie ma wpisu dla żądanej domeny. Urządzenie w sieci wywołuje odpowiedź NXDOMAIN z DNS z kilku powodów:

• Użytkownik wpisuje literówkę podczas próby odwiedzenia strony internetowej
• Aplikacja na kliencie jest źle skonfigurowana
• Przeglądarka internetowa Chrome sięga do losowych domen lokalnych podczas uruchamiania, aby spróbować wykryć porwanie
• Urządzenie jest zainfekowane botem wykorzystującym algorytm generowania domen (DGA) w celu uczestnictwa w sieci botnet.

Niektórzy producenci, tacy jak McAfee i SonicWall, wykorzystują nierozwiązywalne domeny trzeciego, czwartego, piątego, szóstego itd. poziomu, których nie można rozwiązać, jako rodzaj metodologii zbierania danych z domu telefonicznego. Zobacz zrzut ekranu poniżej:

Powyżej widzimy klienta, który nadal otrzymywać odpowiedzi NXDOMAIN dla 3 lub 4 domeny poziomu próbuje rozwiązać, że kończy się z 2 domeny poziomu webcfs03.com (Dell – SonicWALL).

Gdy widzimy dużą liczbę odpowiedzi NXDOMAIN dla domen 2 poziomu takich jak mcafee.com lub webcfs03.com i wiemy, że mamy aplikacje tych producentów w naszej sieci, musimy je zignorować lub umieścić na białej liście w naszych praktykach monitorowania DNS NXDOMAIN, w przeciwnym razie pojawią się fałszywe wyniki pozytywne. Przeczytaj post na temat Security Vendors Helping Bad Actors Get Past Firewalls, aby zrozumieć, dlaczego producenci celowo wywołują odpowiedzi NXDOMAIN poprzez docieranie do domen, które nie istnieją. To naprawdę sprytne, ale i niepokojące.

Dlaczego powinieneś monitorować odpowiedzi DNS NXDOMAIN

Powodem, dla którego powinieneś monitorować odpowiedzi DNS NXDOMAIN jest to, że niektóre formy złośliwego oprogramowania (głównie boty) wykorzystują algorytmy generowania domen (DGA), aby próbować dotrzeć do Command and Control (C&C). Możliwe jest zaobserwowanie setek, a czasami tysięcy żądań dziennie generowanych przez DGA wykorzystywane przez złośliwe oprogramowanie. Większość losowo wygenerowanych domen żądanych przez zainfekowanego hosta wywołuje odpowiedź NXDOMAIN z DNS. Jeśli monitorujesz żądania DNS NXDOMAIN i prowadzisz statystyki dla każdego klienta, możesz zwiększyć świadomość podejrzanych zachowań, ale nadal nie powinieneś wszczynać alarmów bez dalszego dochodzenia. W końcu, nie chcesz żadnych fałszywych pozytywów i pamiętaj, że musisz wybielić domeny takie jak mcafee.com i webcfs03.com, jeśli wiesz, że odpowiedzi NXDOMAIN dla tych domen są konieczne i wymagane przez pewne wewnętrzne pakiety oprogramowania. Po wykluczeniu oczywistych rzeczy, trzeba dodać logikę, aby szukać działań od podejrzanych klientów, takich jak:

• Sięganie do domeny, która znajduje się na czarnej liście z powodu złej reputacji
• Sięganie do stron takich jak http://whatismyipaddress.com/, aby określić adres IP wychodzący z Internetu, który złośliwe oprogramowanie wysyła na C&C. Pozwala to złym aktorom stojącym za C&C ustalić, czy zainfekowana firma, która odpowiada na ten adres IP, jest warta głębszej penetracji za pomocą bardziej ukierunkowanego ataku.

FlowPro Defender™ to wirtualne lub sprzętowe urządzenie, które pasywnie nasłuchuje ruchu IPv4 i IPv6, tworzy przepływy, a następnie wysyła je do kolektora NetFlow i IPFIX z prędkością przewodową.

The post Monitoring DNS NXDOMAIN appeared first on Extreme Networks.