Är du intresserad av att övervaka BYOD-trafik till Internet för säkerhetshot? Du bör vara uppmärksam på DNS-trafiken, särskilt NXDOMAIN. NXDOMAIN är en DNS-meddelandetyp som tas emot av DNS-upplösaren (dvs. klienten) när en begäran om att lösa en domän skickas till DNS och inte kan lösas upp till en IP-adress. Ett NXDOMAIN-felmeddelande innebär att domänen inte existerar.
Varför klienter utlöser NXDOMAIN
Om du inte är särskilt bekant med DNS-processen föreslår jag att du läser inlägget med titeln An Overview of DNS. Även om ett NXDOMAIN-svar kan vara en dålig sak kan det hjälpa till att avslöja dåliga aktörer som försöker stjäla ditt företags immateriella rättigheter.
Internt NXDOMAIN-svar skapas när en DNS inte har någon notering för den begärda domänen. En enhet i nätverket utlöser ett NXDOMAIN-svar från DNS av flera skäl:
- En användare skriver in ett stavfel när han eller hon försöker besöka en webbplats
- Ett program på klienten är felkonfigurerat
- En Chrome-webbläsare sträcker sig ut till slumpmässiga lokala domäner vid uppstart för att försöka upptäcka kapning
- En enhet är infekterad med en bot som använder en domängenererande algoritm (DGA) för att delta i ett botnät.
Vissa leverantörer som McAfee och SonicWall använder ej upplösbara domäner på tredje, fjärde, femte, sjätte osv. nivå som inte kan lösas upp som en typ av datainsamlingsmetod för telefonhem. Se skärmdumpen nedan:
Ovanför ser vi en klient som fortsätter att få NXDOMAIN-svar för en domän på 3:e eller 4:e nivå som den försöker lösa och som slutar med domänen på 2:a nivån webcfs03.com (Dell – SonicWALL).
När vi ser ett stort antal NXDOMAIN-svar för domäner på andra nivån, t.ex. mcafee.com eller webcfs03.com, och vi vet att vi har tillämpningar från dessa leverantörer i vårt nätverk, måste vi ignorera dem eller sätta dem på en vitlista från vår övervakning av NXDOMAIN-domäner i DNS, annars kommer vi att få falskt positiva resultat. Läs inlägget Security Vendors Helping Bad Actors Get Past Firewalls (Säkerhetsleverantörer hjälper dåliga aktörer att ta sig förbi brandväggar) för att förstå varför leverantörer medvetet utlöser NXDOMAIN-svar genom att nå ut till domäner som inte existerar. Det är riktigt smart, men också ganska oroande.
Varför du bör övervaka DNS NXDOMAIN
Anledningen till att du bör övervaka DNS NXDOMAIN-svar är att vissa former av skadlig kod (till stor del robotar) utnyttjar domängenererande algoritmer (DGA) för att försöka nå Command and Control (C&C). Det är möjligt att se hundratals och ibland tusentals förfrågningar per dag som genereras av den DGA som används av skadlig kod. De flesta slumpmässigt genererade domäner som begärs av en infekterad värd utlöser ett NXDOMAIN-svar från DNS. Om du övervakar DNS NXDOMAIN-förfrågningar och håller en poängsättning per klient kan du öka medvetenheten om misstänkta beteenden, men du bör ändå inte utlösa larm utan ytterligare utredning. Du vill trots allt inte ha några falska positiva resultat och kom ihåg att du måste sätta domäner som mcafee.com och webcfs03.com på en vitlista om du vet att NXDOMAIN-svar för dessa domäner är nödvändiga och krävs av vissa interna programvarupaket. Efter att ha uteslutit de uppenbara sakerna måste du lägga till logik för att leta efter aktiviteter från misstänkta klienter, t.ex.:
- Söka kontakt med en domän som finns på en svart lista för att den har ett dåligt rykte
- Söka kontakt med webbplatser som http://whatismyipaddress.com/ för att fastställa den IP-adress som är riktad mot Internet och som skadlig kod skickar vidare till C&C. Detta gör det möjligt för de dåliga aktörerna bakom C&C att avgöra om det infekterade företaget som löser upp till IP-adressen är värt att försöka tränga djupare in med en mer riktad attack.
The FlowPro Defender™ är en virtuell eller hårdvarubaserad apparat som passivt lyssnar på IPv4- och IPv6-trafik, skapar flöden och skickar dem sedan till NetFlow- och IPFIX-kollektorn i trådhastighet.
The post Monitoring DNS NXDOMAIN appeared first on Extreme Networks.