可疑的 DNS 查询是什么?

可疑的 DNS 查询是什么?

169877
Created On 09/26/18 21:04 PM - Last Modified 03/06/24 19:38 PM


Resolution


潘 OS 设备威胁日志的显示可疑的 DNS 查询触发。 

 

2016-06-09_susp-dns.png详细的威胁日志与可疑的 DNS 查询。

什么是可疑的 DNS 查询签名吗?

可疑的 DNS 查询签名正在寻找到与 C2 交通,可能会违反机指示潜在关联的域的 DNS 解析。

 

可疑的 DNS 查询签名是方法的帕洛阿尔托网络对注射保护纳入在杀链中,每个点以提供分层的防御于一体的解决方案,其中威胁男演员的穿透检验附加点才能取得成功的一部分。与当前的威胁景观的动态性质,防病毒保护、漏洞剥削检测和 URL 过滤是有效的但可以做的更多。如果名称解析甚至发生之前,可以砍到潜在的恶意的目的地的连接,这是应该做的事。

 

可疑的 dns 签名可以设置为 "警报",通过重置或删除连接来阻止名称解析, 或者通过利用产品的 DNS 陷区功能来 sinkholed.    要坚持与帕洛阿尔托网络最佳做法建议的缓解是灰岩坑,以便一个可以识别可疑的 DNS 查询的源 IP。

 

可疑的 DNS 查询签名是如何工作的?他们从哪里来?

可疑的 DNS 查询签名 (在这里-到称为看作签名) 通过 DNS 通信通过泛 OS 设备检查到签名目前存在的任何域的名称查找操作。如果数据包捕获,启用看作签字了,他们是简单 DNS 查询与特定的领域。 

 

2.PNG

 

看作签名是在帕洛阿尔托网络后端上搜集情报的结果。野火沙盒样品爆轰、外部情报提要和分析从研究人员列举了一些的这些签名可能源于何处。

 

一旦创建,这些签名让他们泛 OS 电器两种方式:

 

  • 野火内容,签名 3,800,000 3,999,999 的形式。他们可以更新/更改每隔 15 分钟,具体取决于如何经常配置内容更新计划,设备的野火和签名仍处于活动状态。这些签名将以以下格式显示在威胁日志中: Malwarefamilyname: 域 (Ex: 无: google [.]com)
    如果没有与用于生成签名的示例关联的姓氏, 则 "无" 取代其位置.

 

  • 防病毒的内容,在形式的签名 4,000,000 4,199,999。AV 内容通常公布在大约上午美国东部时间 7,每 24 小时一次。这些签名将以下列格式显示在威胁日志中: 可疑 dns 查询: Malwarefamilyname: 域 (前: 可疑 dns 查询: 无: google [.]com)
    如果没有与用于生成签名的示例关联的姓氏, 则 "无" 取代其位置. 

签名内容的"间谍软件"部分中显示。有关签名 ID 号可以识别的内容的详细信息, 可参考此链接.

 

先前已触发的看作查询签名有威胁监视器中改变他们的名字,你可能想知道为什么会这样,你可能已经注意到。

 

当前实施看作签名及内容一般情况下,是每个威胁已分配的当前内容中的 ID。由于内容空间不是无限的内容空间在任何一个给定的时间保持最活跃、最危险的威胁看作是一个优先事项。由于威胁景观变化太快,可以取代这些签名。

 

我们当前实现的威胁监视器 UI 查询直接从内容数据库当前安装在防火墙上的"名称"字段。这意味着,当一个加载威胁监视器,可能以前读过同一个域的签名触发器可能现在显示无论当前分配给该签名。


示例︰

  • 在野火内容 1、谷歌 [.]com 被分配看作 sig 3,800,000。
  • 这威胁触发器和条目 3,800,000 谷歌 [.]com 是威胁日志中。
  • 野火内容 2 被应用。
  • 在野火内容 2,Bing [.]com 已发生谷歌 [.]com 在看作 sig 3,800,000。
  • 以前的威胁触发器现在正确显示名称 Bing [.]com 与以前的触发器相关联。

 

现在,周围的最简单的工作是使看作签字的数据包捕获,通过打开的间谍软件配置文件分配给 DNS 通信量遍历的安全规则。 数据包捕获是静态数据,不会改变。

 

3.PNG

 

有关 DNS 签名更改原因的详细信息, 请参阅本文.

 

可疑的 DNS 查询签名触发器与该怎么办?

看作签名触发器并不意味着作为一个绝对的指征的妥协,但可以与其他指标一起用来确定主机可能处于危险之中,或需要更多的关注。主机可能会显示出站网络模式是指示性的但不能保证是恶意活动。

 

看到交通量的存在看作签名域主机可以帮助确定可能需要检查或采取进一步的行动他们网络上的流量的主动安全分析师。如果一个人看到主机触发器看作特征码,再加上 AV 检测、漏洞签名触发器或尝试通过 web 浏览列为恶意软件,URL 访问看作签名可以用于添加额外的信心措施到主机上采取进一步行动的必要性。

 

自动对焦客户看一下他们的野火样品、其他公共样品和任何样品,恶意软件的裁决并伸出到特定域的查询。这可以帮助理解为什么存在签名,和什么行为生成交通到可疑域一样,寻找潜在事件响应行动的样品的分析师。 

2016-06-10_susp-dns2.png显示查询在一个可疑的 DNS 域的自动对焦。

了解签名进一步,第三方开放源码的情报来源是情报的奇妙的方法,看看什么样安全共同体有域上。

 

几个例子包括:

  • 检查其他供应商的反馈,通过 VirusTotal URL 扫描。
  • 检查被动历史使用 PassiveTotal 的域名的 DNS 记录。
  • 利用 WHOIS 看到细节上谁拥有一个域中,当它被注册和其他数据。

 

一旦确定取得了作为对如果警报是值得调查上主机看上下文数据, 捕获的数据包,例如用户活动和可疑的交通,可以帮助设置仍须进一步行动现场。

 

如果你已经做了所有上述情况,具体看作签名产生大量的警报,并没有消极的活动似乎与域相关联,你知吗?

 

在这种情况,支持可以帮助确定签名是否为候选人的帕洛阿尔托网络禁用或不。如果签名似乎会产生严重噪音为众多的客户,我们不想对你厌倦了你检查你的威胁日志。然而,如果是没有道理的签名,你总是可以利用间谍软件配置文件允许通信,并停止警报的异常功能。

 

示例可疑 DNS 查询签名:

 

作为一个例子,让我们使用 SHA256 932836effd33218470e1c78dad3505d59af31ecff599e875ed79f47114552883。

 

我们可以看到此示例是可移植的可执行,一旦执行,生成一些可疑的 C2 HTTP 流量:

1.PNG

 

 

结果,生成了 C2 域签名来防止交通到相关联的域:

2.PNG

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm5kCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language