Was sind verdächtige DNS-Abfragen?

Was sind verdächtige DNS-Abfragen?

169915
Created On 09/26/18 21:04 PM - Last Modified 03/06/24 19:38 PM


Resolution


Ein PAN-OS-Gerät Bedrohung meldet sich zeigen, dass verdächtige DNS-Abfrage löst. 

 

2016-06-09_susp-dns.pngDetail der Bedrohung Log mit verdächtigen DNS-Abfrage.

Was sind verdächtige DNS Abfragen Signaturen?

Verdächtige DNS-Abfrage-Signaturen sind auf der Suche nach DNS-Auflösung auf Domänen möglicherweise verbunden mit C2-Verkehr, der ein Hinweis auf eine Maschine verletzt sein könnte.

 

Verdächtige DNS-Abfrage-Signaturen sind Teil von Palo Alto Networks Ansatz zum Einspritzen von Schutz in jedem Punkt in der Kette zu töten, um eine mehrstufige Verteidigung in einer Lösung zu bieten, in denen ein Bedrohung-Schauspieler hat, einen weiteren Punkt der Inspektion zu durchdringen, um erfolgreich zu sein. Mit der dynamischen Natur der aktuellen Bedrohungslage Antivirus-Schutz, Anfälligkeit Ausbeutung Erkennung und URL-Filterung sind wirksam, aber noch mehr getan werden kann. Wenn eine Verbindung zu einem potenziell bösartige Ziel abgeholzt werden kann bevor eine Namensauflösung auch auftritt, ist dies etwas, das getan werden sollte.

 

Verdächtige DNS-Signaturen können auf Alarmbereitschaft gesetzt werden, umdie Namensauflösung zu blockieren, indem Sie die Verbindung zurücksetzen oder ablegen, oder indem Sie die DNS-Sink-Funktionen des Produktes nutzen.    Die vorgeschlagene Reduzierung mit Palo Alto Networks best Practices befolgen soll Doline, so dass man die Quell-IP der vermuteten DNS-Abfrage identifizieren kann.

 

Wie funktionieren verdächtige DNS-Abfrage Signaturen? Wo kommen sie her?

Verdächtige DNS Abfragen Signaturen (hier-, bezeichnet als SDNS Unterschriften) betreiben, indem DNS-Datenverkehr auf der PAN-OS-Gerät auf ein Name-Lookup zu jeder Domain, für die eine Signatur derzeit existiert, untersucht. Wenn Paket fängt auf SDNS Signaturen aktiviert sind, sind sie einfach DNS-Abfragen mit einer bestimmten Domäne in ihnen. 

 

2. PNG

 

SDNS Signaturen sind ein Ergebnis der Informationsbeschaffung auf dem Back-End von Palo Alto Networks. Ein Lauffeuer Sandkasten Probe Detonation, externe Intelligenz Feeds und Analyse von Forschern sind einige Beispiele von wo diese Signaturen stammen kann.

 

Einmal erstellt, finden diese Signaturen ihren Weg zu PAN-OS-Geräte auf zwei Arten:

 

  • Ein Lauffeuer Inhalte in Form von Unterschriften 3.800.000-3.999.999. Aktualisiert/geändert werden alle 15 Minuten, je nachdem, wie oft das Gerät WildFire Content-Updatezeitplan konfiguriert ist, und unabhängig davon, ob die Signatur ist noch aktiv. Diese Signaturen werden im Bedrohungs Protokoll im folgenden Format angezeigt: malwarefamilyname: Domain (ex: None: Google [.] com)
    Wenn kein Familienname mit den Proben verbunden ist, die zur Generierung der Signatur verwendet werden, nimmt "None" seinen Platz ein.

 

  • Antivirus-Inhalte in Form von Unterschriften 4.000.000-4.199.999. AV-Inhalt wird in der Regel um etwa 7 Uhr EST, einmal alle 24 Stunden freigegeben. Diese Signaturen werden im Bedrohungs Protokoll im folgenden Format angezeigt: verdächtige DNS-Abfrage: malwarefamilyname: Domain (ex: verdächtige DNS-Abfrage: keine: Google [.] com)
    Wenn kein Familienname mit den Proben verbunden ist, die zur Generierung der Signatur verwendet werden, nimmt "None" seinen Platz ein. 

Die Signaturen in der "Spyware" Teil des Inhalts angezeigt. Weitere Informationen darüber, was durch die ID-Nummer einer Signatur erkennbar ist, finden Sie in diesem Link.

 

Sie haben bemerkt, dass SDNS Abfrage-Signaturen, die zuvor ausgelöst wurden haben ihre Namen in der Bedrohung Monitor ändern und Sie wundern sich vielleicht, warum dies geschah.

 

Die aktuelle Implementierung von SDNS Signaturen und für den Inhalt ist im Allgemeinen, dass jede Bedrohung eine ID zugewiesen, die in den aktuellen Inhalt. Da Inhalte Platz nicht unendlich ist, ist die aktivsten und gefährlicheren Bedrohungen in der SDNS halten Inhaltsbereich eine jederzeit eine Priorität. Da sich die Bedrohungslage so schnell ändert, können diese Signaturen ersetzt werden.

 

Unsere aktuelle Implementierung des Monitors Bedrohung UI fragt das Feld "Name" direkt aus der Inhaltsdatenbank, die derzeit auf die Firewall installiert. Das bedeutet, dass wenn man die Bedrohung Monitor lädt, Signatur-Trigger, die zuvor mit einer Domäne gelesen haben jetzt zeigen können was auch immer die Signatur zugewiesen ist.


Beispiel:

  • In WildFire Inhalt 1, Google [..] com ist SDNS Sig 3.800.000 zugeordnet.
  • Diese Bedrohung löst und einen Eintrag für 3.800.000 Google [..] com ist in den Protokollen der Bedrohung.
  • Ein Lauffeuer Inhalt 2 wird angewendet.
  • Inhalt in WildFire 2, Bing [..] com hat stattgefunden, dass Google [..] com in SDNS Sig 3.800.000.
  • Vorherigen Bedrohung löst jetzt nicht falsch zeigen den Namen Bing [..] com die vorherigen Trigger zugeordnet.

 

Vorerst soll die einfachste Arbeit um Paket fängt auf SDNS Signaturen durch Öffnen der Spyware-Profile zugewiesen die Sicherheitsregel, die der DNS-Verkehr durchlaufen ist. Paket erfasst sind statische Daten und ändert sich nicht.

 

3. PNG

 

Weitere Informationen darüber, warum DNS-Signaturen geändert werden, finden Sie in diesem Artikel.

 

Was mache ich mit verdächtigen DNS-Abfrage Signatur auslöst?

SDNS Unterschrift Trigger sollen nicht als eine absolute Indikation des Kompromisses zu betreiben, sondern können zusammen mit anderen Indikatoren verwendet werden, um Hosts zu identifizieren, die möglicherweise gefährdet, oder mehr Aufmerksamkeit erfordern. Der Host ausgehenden Netzwerk Muster zeigt möglicherweise, die bezeichnend für aber nicht gewährleistet, dass bösartige Aktivitäten sein.

 

Sehen zahlreiche Besucher auf einer Domain zu generieren eine SDNS Signatur existiert schon seit kann helfen, proaktive Security Analysten Verkehr in ihren Netzwerken zu identifizieren, die Inspektion oder weitere Maßnahmen rechtfertigen können. Wenn man sieht, dass ein Host Trigger SDNS Unterschriften, gepaart mit AV-Erkennung, eine Sicherheitslücke Signatur Trigger oder ein Versuch, über Web-Browser eine URL als Malware eingestuft zu besuchen kann die SDNS Signatur verwendet werden, ein zusätzliches Maß an Vertrauen auf die Notwendigkeit weiterer Maßnahmen auf dem Host hinzufügen.

 

Autofokus-Kunden können schauen Sie durch ihre WildFire Proben, andere öffentliche Proben und Abfrage für alle Proben, die hatte einer Urteil von Malware und streckte die Hand aus zu einer bestimmten Domäne. Dadurch kann den Analytiker verstehen, warum die Signatur vorhanden ist, und was das Verhalten der Proben, die Traffic auf die fragwürdige Domäne aussehen, für potenzielle Incident-Response-Aktion generiert. 

2016-06-10_susp-dns2.pngAutofokus, die eine Abfrage auf eine verdächtige DNS-Domäne.

Um die Signatur zu untersuchen sind, Drittanbieter-open-Source-Geheimdienstquellen eine fantastische Methode zu sehen, welche Art von Intelligenz der Sicherheits-Community auf der Domäne hat.

 

Ein paar Beispiele:

  • Überprüfen Sie andere Anbieter Antworten über VirusTotal URL zu scannen.
  • Überprüfen Sie passive DNS-Geschichte von der Domäne mit PassiveTotal.
  • WHOIS, siehe Besonderheiten auf, wem eine Domain gehört, als es registriert wurde, und andere Daten zu nutzen.

 

Erfolgter Bestimmung, wenn die Warnung Untersuchung verdient, Paket fängt auf dem Host, kontextbezogene Daten zu sehen, wie Benutzer Aktivität und verdächtigen Datenverkehr kann helfen, die Bühne für unabhängig davon, ob weitere Maßnahmen erforderlich sind.

 

Was passiert, wenn du alles getan hast oben, eine bestimmte SDNS Signatur erzeugt eine beträchtliche Anzahl von Warnungen und keine negativen Aktivität scheint mit der Domäne verknüpft zu sein, soweit Sie beurteilen können?

 

In diesem Fall deaktivieren Sie Palo Alto Networks Unterstützung helfen kann, festzustellen, ob die Signatur ein Kandidat für ist oder nicht. Wenn die Signatur angezeigt wird, zu erheblichen Lärm für zahlreiche Kunden erwirtschaften werden, wollen Sie wir prüfen Ihre Bedrohung Protokolle müde. Allerdings besteht die Rechtfertigung für die Unterschrift, können Sie immer nutzen Ausnahme Funktionalität in Spyware Profile, damit des Verkehrs und Warnungen zu stoppen.

 

Unterschrift des Beispiel verdächtige DNS-Abfrage:

 

Lassen Sie uns nehmen Sie SHA256 932836effd33218470e1c78dad3505d59af31ecff599e875ed79f47114552883 als Vorbild.

 

Wir können sehen, dass in diesem Beispiel eine portable ausführbare Datei, die einmal ausgeführt, einige vermuteten C2 HTTP-Datenverkehr generiert:

1. PNG

 

 

Infolgedessen wurde eine C2 Domain Signatur erstellt, um Verkehr auf die zugehörige Domäne zu verhindern:

2. PNG

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm5kCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language