Quelles sont les requêtes DNS suspectes ?

Quelles sont les requêtes DNS suspectes ?

169849
Created On 09/26/18 21:04 PM - Last Modified 03/06/24 19:38 PM


Resolution


Menace de l’appareil de la PAN-OS enregistre Voir la que suspecte requête DNS déclenche. 

 

2016-06-09_susp-dns.pngDétail du journal de menace avec suspectes requête DNS.

Quels sont les DNS suspectes interroge signatures ?

Signatures suspectes de requête DNS recherchent des résolutions DNS pour les domaines potentiellement associés à trafic C2, ce qui pourrait être une indication d’une machine de la digue.

 

Signatures suspectes de requête DNS font partie de l’approche de Palo Alto Networks à l’injection des protections en chaque point de la chaîne d’abattage, afin de fournir une défense en couches en une seule solution, dans laquelle un acteur menace doit pénétrer un point supplémentaire d’inspection pour réussir. Avec la nature dynamique du paysage actuel de menace, protection antivirues, détection de l’exploitation de vulnérabilité et filtrage d’URL sont efficaces, mais on peuvent faire plus. Si une connexion vers une destination potentiellement malveillante peut être coupée avant une résolution de noms se produit encore, c’est quelque chose qui devrait être fait.

 

Les signatures DNS suspectes peuvent être définies à Alert,pourbloquer la résolution de nom en réaffectant ou en supprimant la connexion, ou sinkholed en tirant parti des fonctionnalités de l'effondrement DNS du produit.    Les mesures d’atténuation proposées pour se conformer aux pratiques exemplaires de Palo Alto Networks est de doline, afin qu’on peut identifier l’adresse IP source de la requête DNS suspecte.

 

Comment fonctionnent les signatures suspectes de requête DNS ? D'où ils viennent ?

Signatures de la requête DNS suspectes (ici-à dénommé signatures AIEP) exploitée par le trafic DNS en passant par l’appareil de la PAN-OS inspecté pour une recherche de nom à n’importe quel domaine pour lequel une signature existe actuellement. Si la capture de paquets est activés sur les signatures de RPS, ils sont simplement les requêtes DNS avec un domaine spécifique en eux. 

 

2. PNG

 

SDNS signatures sont un résultat de renseignement sur le back-end de Palo Alto Networks. Détonation de sample pour le bac à sable une traînée de poudre, flux de renseignement extérieur et analyse de chercheurs sont quelques exemples d’où ces signatures peuvent être fournis.

 

Une fois créées, ces signatures font leur chemin aux appareils de la PAN-OS de deux façons :

 

  • Contenu d’une traînée de poudre, sous forme de signatures 3 800 000-3 999 999. Ils peuvent être mis à jour/modifiés toutes les 15 minutes, selon la fréquence WildFire de l’appareil calendrier mise à jour de contenu est configurée et si la signature est toujours active. Ces signatures apparaîtront dans le journal des menaces dans le format suivant: Malwarefamilyname: Domain (ex: None: Google [.] com)
    si aucun nom de famille n'est associé aux échantillons utilisés pour générer la signature, «None» prend sa place.

 

  • Teneur en antivirus, sous forme de signatures 4 000 000-4 199 999. Contenu de l’AV est généralement communiqué à peu près 7 AM, une fois toutes les vingt-quatre heures. Ces signatures apparaîtront dans le journal des menaces au format suivant: requête DNS suspecte: Malwarefamilyname: domaine (ex: requête DNS suspecte: aucun: Google [.] com)
    si aucun nom de famille n'est associé aux échantillons utilisés pour générer la signature, «None» prend sa place. 

Les signatures s’affichent dans la partie « spyware » du contenu. Pour plus d'informations sur ce qui peut être discerné par le numéro d'identification d'une signature de référence ce lien.

 

Vous avez peut-être remarqué que signatures SDNS requête ayant été précédemment déclenché ont leurs noms changeant dans le moniteur de la menace et vous demandez peut-être pourquoi c’est arrivé.

 

L’implémentation actuelle de signatures de RPS et pour le contenu en général, est que chaque menace possède un ID assigné dans le contenu actuel. Puisque l’espace contenu n’est pas infinie, maintenant les menaces les plus actifs et dangereux dans l’AIEP espace contenu à tout moment donné est une priorité. Étant donné que le paysage des menaces change si rapidement, ces signatures peuvent être remplacées.

 

Notre implémentation actuelle du moniteur menace UI interroge le champ « Nom » directement à partir de la base de données actuellement installée sur le pare-feu. Ce qui veut dire que lorsqu’on charge le moniteur de la menace, les déclencheurs de signature qui peuvent se lire auparavant avec un nom de domaine peuvent maintenant montrer tout ce qui est actuellement affecté à la signature.


Exemple :

  • Une traînée de poudre contenu 1, Google [...] com est assigné SDNS sig 3 800 000.
  • Les déclencheurs de cette menace et une entrée pour 3 800 000 Google [..] com se trouve dans les journaux de la menace.
  • Contenu de wildFire 2 est appliqué.
  • Une traînée de poudre contenu 2, Bing [..] com a pris la place de Google [...] com SDNS sig 3 800 000.
  • Déclencheurs de menace précédente montrent maintenant incorrectement le nom Bing [..] com associées à des déclencheurs précédents.

 

Pour l’instant, contourner le plus simple est de permettre packet capture sur les signatures de RPS en ouvrant le profil de spyware assigné à la règle de sécurité que parcourt le trafic DNS. Capture de paquets est des données statiques et ne changera pas.

 

3. PNG

 

Pour plus d'informations sur les raisons pour lesquelles les signatures DNS changent, consultez cet article.

 

Que dois-je faire avec les déclencheurs de signature suspecte requête DNS ?

SDNS signature déclencheurs ne sont pas censés fonctionner comme une indication absolue de compromis, mais peuvent être utilisés parallèlement à d’autres indicateurs pour identifier des hôtes qui peuvent être à risque, ou nécessitent plus d’attention. L’hôte peut afficher des modèles de réseau sortant qui sont indicatifs de mais pas obligatoirement les activités malveillantes.

 

Voir une foule de générer du trafic vers un domaine pour qu'une signature SDNS existe peut aider les analystes de sécurité proactive à identifier le trafic sur leurs réseaux qui justifient l’inspection ou la suite à donner. Si on voit un hôte déclencheur SDNS des signatures, couplée à la détection de l’AV, un déclencheur de signature de vulnérabilité ou une tentative de visiter via une URL qualifiée de malware, de navigation web la signature SDNS permet d’ajouter une mesure supplémentaire de confiance à la nécessité de nouvelles mesures sur l’hôte.

 

AutoFocus clients peuvent regarder à travers leurs échantillons d’une traînée de poudre, les autres échantillons publics et requête pour tous les échantillons qui avaient un verdict de malware et tendu la main à un domaine spécifique. Cela peut aider l’analyste à comprendre pourquoi la signature existe et ce que le comportement des échantillons qui a généré le trafic vers le domaine douteux ressembler, d’action potentiel de réponse aux incidents. 

2016-06-10_susp-dns2.pngAutoFocus montrant une requête sur un domaine DNS suspect.

Afin d’étudier la signature plus, sources de renseignements de tierces parties libres sont une méthode fantastique de voir quel genre d’intelligence la communauté de sécurité dispose sur le domaine.

 

Voici quelques exemples :

  • Vérifiez les autres réponses du vendeur via VirusTotal URL d’analyse.
  • Vérifier le passif histoire DNS du domaine à l’aide de PassiveTotal.
  • Tirer parti de WHOIS pour voir les détails sur qui possède un domaine, lorsque celle-ci a été enregistrée et autres données.

 

Une fois a été déterminé en ce qui concerne si l’alerte est digne de l’enquête, packet capture sur l’hôte pour voir des données contextuelles, comme utilisateur activité et trafic suspect, peut aider à planter le décor pour si d’autres mesures sont nécessaires.

 

Que se passe-t-il si vous avez fait tout ce qui précède, une signature spécifique de RPS génère un nombre important d’alertes, et aucune activité négative ne semble être associé avec le nom de domaine, pour autant que vous pouvez dire ?

 

Dans ce cas, Palo Alto Networks soutien peut aider à déterminer si la signature est un candidat pour désactiver ou non. Si la signature semble être génératrices de bruit important pour nombreux clients, nous ne voulons vous lasse inspecter vos journaux de menace. Toutefois, s’il y a justification pour la signature, vous pouvez toujours tirer parti des fonctionnalités d’exception dans les profils de spyware pour autoriser le trafic et arrêter les alertes.

 

Exemple suspectes DNS requête Signature :

 

Servons-nous de SHA256 932836effd33218470e1c78dad3505d59af31ecff599e875ed79f47114552883 à titre d’exemple.

 

Nous pouvons voir que cet échantillon est un fichier exécutable portable qui, une fois exécutée, ont généré du trafic HTTP C2 présumé :

1.PNG

 

 

Par conséquent, une Signature de domaine C2 a été générée pour empêcher le trafic pour le domaine associé :

2. PNG

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm5kCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language