¿Cuáles son sospechosas consultas DNS?

¿Cuáles son sospechosas consultas DNS?

169903
Created On 09/26/18 21:04 PM - Last Modified 03/06/24 19:38 PM


Resolution


Amenaza de un dispositivo PAN OS registros mostrar que desencadena la consulta DNS sospechosas. 

 

2016-06-09_susp-dns.pngDetalle de registro de amenaza con sospechosos consulta DNS.

¿Qué DNS sospechoso consulta firmas?

Buscan firmas sospechosas de consulta DNS para la resolución DNS para dominios potencialmente asociados con el tráfico de C2, que podría ser una indicación de una máquina.

 

Firmas de consulta DNS sospechosas forman parte del enfoque de Palo Alto Networks para inyectar protecciones en cada punto de la cadena de matanza, con el fin de proporcionar una defensa acodada en una solución, en el que un agente de amenaza tiene que penetrar un punto adicional de inspección con el fin de tener éxito. Con el carácter dinámico del paisaje actual de la amenaza, protección antivirus, detección de explotación de vulnerabilidad y filtrado de URL son eficaces, pero se puede hacer más. Si una conexión a un destino potencialmente malicioso puede cortarse antes de incluso una resolución de nombre, esto es algo que debe hacerse.

 

Las firmas DNS sospechosas se pueden configurar para alertar,parabloquear la resolución de nombres mediante la reconfiguración o caída de la conexión, o el sumidero mediante el aprovechamiento de las características de sumidero DNS del producto.    La mitigación sugerida para cumplir con las mejores prácticas de Palo Alto Networks es sumidero, por lo que uno puede identificar la IP de origen de la presunta consulta DNS.

 

¿Cómo funcionan los sospechosas firmas de consulta DNS? ¿De dónde vienen?

Consulta de DNS sospechosas firmas (aquí-a como firmas SDNS) operar por el tráfico DNS, pasando por el aparato de PAN-OS de una búsqueda de nombre de cualquier dominio para el cual existe actualmente una firma. Si capturas paquetes están habilitados en las firmas SDNS, son simplemente consultas DNS con un dominio específico en ellos. 

 

2 PNG

 

Firmas SDNS son el resultado de la inteligencia recogida en el back-end de Palo Alto Networks. Detonación de pólvora sandbox muestra, fuentes de inteligencia externa y análisis de los investigadores son algunos ejemplos de donde pueden originarse estas firmas.

 

Una vez creado, estas firmas hacen su camino a dispositivos PAN-OS de dos maneras:

 

  • Contenido de incendios forestales, en forma de firmas 3.999.999 3.800.000. Se puede actualizar/cambiar cada 15 minutos, dependiendo de la frecuencia WildFire del dispositivo, programa de actualización de contenido está configurado, y si es o no la firma sigue en activo. Estas firmas se mostrarán en el registro de amenazas en el siguiente formato: Malwarefamilyname: domain (ej: none: Google [.] com)
    si no se asocia ningún nombre de familia a las muestras utilizadas para generar la firma, ' none ' toma su lugar.

 

  • Contenido de antivirus, en forma de firmas 4.199.999 4.000.000. Contenidos audiovisuales se lanza generalmente en aproximadamente 7 AM EST, una vez cada veinticuatro horas. Estas firmas se mostrarán en el registro de amenazas en el siguiente formato: consulta DNS sospechosa: Malwarefamilyname: dominio (ej: consulta DNS sospechosa: none: Google [.] com)
    si no se asocia ningún nombre de familia a las muestras utilizadas para generar la firma, ' none ' toma su lugar. 

Las firmas se muestran en la parte de "spyware" de contenido. Para más información sobre lo que puede discernirse con el número de identificación de una firma, haga referencia a este enlace.

 

Usted puede haber notado que SDNS consulta firmas que han sido previamente activadas tienen sus nombres en el monitor de la amenaza y usted puede estarse preguntando por qué esto sucedió.

 

La implementación actual de firmas SDNS y contenido en general, es que cada amenaza tiene un ID asignado en el contenido actual. Puesto que el contenido espacio no es infinito, manteniendo las amenazas más activas y peligrosas en la SDNS espacio contenido en un momento dado es una prioridad. Puesto que el paisaje amenaza cambia tan rápidamente, se pueden reemplazar estas firmas.

 

La implementación actual del monitor amenaza UI consulta el campo "Nombre" directamente de la base de datos contenido instalado en el servidor de seguridad. Lo que esto significa es que cuando uno carga el monitor de la amenaza, factores desencadenantes de la firma que pueden haber leído previamente con un dominio pueden ahora mostrar lo que actualmente se asigna a la firma.


Ejemplo:

  • En el contenido de pólvora 1, Google [...] com se asigna SDNS sig 3.800.000.
  • Factores desencadenantes de esta amenaza y una entrada para Google 3.800.000 [.] com es en los registros de la amenaza.
  • Se aplica el contenido de wildFire 2.
  • En el contenido de WildFire 2, Bing [.] com ha tomado el lugar de Google [...] com en sig SDNS 3.800.000.
  • Anterior activa amenaza ahora mostrar incorrectamente el nombre Bing [.] com asociado con los anteriores factores desencadenantes.

 

Por ahora, el trabajo más simple en torno es permitir capturas de paquetes en las firmas SDNS abriendo el spyware el perfil asignado a la regla de seguridad que el tráfico DNS se mueve. Capturas de paquetes son datos estáticos y no va a cambiar.

 

3 PNG

 

Para obtener más información sobre por qué cambian las firmas de DNS, consulte este artículo.

 

¿Qué debo hacer con disparadores de firma sospechosa consulta DNS?

SDNS firma triggers no están destinadas a funcionar como una indicación absoluta de compromiso, pero pueden utilizarse junto con otros indicadores para identificar los hosts que pueden estar en riesgo, o requieren más atención. El host puede mostrar patrones de red salientes que son indicativos de no garantizan que sea doloso.

 

Ver un host de generar tráfico a un dominio de para que una firma SDNS existe puede ayudar a analistas de seguridad proactiva a identificar el tráfico en sus redes que pueden justificar una inspección o una acción ulterior. Si uno ve un host gatillo SDNS las firmas, junto con la detección de AV, un disparador de la firma de vulnerabilidad o un intento de visitar a través de una URL categorizada como malware, para la navegación web la firma SDNS puede utilizarse para agregar una medida adicional de confianza a la necesidad de más acción en el host.

 

Enfoque automático clientes pueden mirar a través de sus muestras de WildFire, muestras públicas y consulta para las muestras que había un veredicto de malware y se acercó a un dominio específico. Esto puede ayudar al analista comprender por qué existe la firma y lo que el comportamiento de las muestras que generan tráfico a la mirada de dominio cuestionable, para posibles acciones de respuesta a incidentes. 

2016-06-10_susp-dns2.pngEnfoque automático mostrando una consulta en un dominio DNS sospechoso.

Para investigar la firma además, fuentes de inteligencia de código abierto de terceras partes son un método fantástico para ver qué tipo de inteligencia la comunidad de seguridad en el dominio.

 

Algunos ejemplos incluyen:

  • Ver otras respuestas de proveedores via URL VirusTotal escaneo.
  • Ver pasivo historia DNS del dominio usando PassiveTotal.
  • Aproveche WHOIS para ver detalles sobre quién es dueño de un dominio, cuando se registró y otros datos.

 

Una vez que la determinación se ha hecho en cuanto a si la alerta es digna de investigación, captura de paquetes en el host para ver datos contextuales, como usuario actividad y tráfico sospechoso, pueden ayudar a establecer el escenario de si es o no más acción requerida.

 

¿Qué pasa si has hecho todo lo anterior, una firma específica de SDNS está generando un número significativo de alertas, y ninguna actividad negativa parece estar asociado con el dominio lo puede decir?

 

En este caso, Palo Alto Networks apoyo puede ayudar a identificar si la firma es un candidato para deshabilitar o no. Si la firma parece estar generando ruido significativo para numerosos clientes, no queremos que al cansarse de inspeccionar los registros de la amenaza. Sin embargo, si existe justificación para la firma, siempre puede aprovechar la funcionalidad de excepción en los perfiles de spyware para permitir el tráfico y detener alertas.

 

Ejemplo sospechoso DNS consulta firma:

 

Utilicemos como ejemplo 932836effd33218470e1c78dad3505d59af31ecff599e875ed79f47114552883 SHA256.

 

Podemos ver que esta muestra es un ejecutable portable que, una vez ejecutado, generó algunos presunto tráfico HTTP C2:

1 PNG

 

 

Como resultado, se generó una firma de dominio C2 para evitar el tráfico para el dominio asociado:

2 PNG

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm5kCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language