DNS クエリが IP 9.0 以降のシンクホールに解決されない PAN-OS
42060
Created On 03/10/20 04:06 AM - Last Modified 03/26/21 18:10 PM
Symptom
1. PAN-OS 9.0 より前 DNS に、パロアルトネットワークスの署名と一致する悪意のあるドメイン DNS に対してクエリを実行すると、シンクホール IP アドレス 75.5.65.111 に解決されます。
2. PAN-OS 9.0 より前に、 DNS 75.5.65.111 に解決するパロアルトネットワークスの署名に一致する悪意のあるドメインに ping が正常に動作します。
3. PAN-OS 9.0 以降、 DNS パロアルトネットワークスの署名またはサービスに一致する悪意のあるドメイン DNS へのクエリを実行 DNS Security すると、シンクホール アドレスに解決されません IP 。
4. Palo Alto Networks の署名に一致する悪意のあるドメインに ping が DNS 失敗し、不明なホスト エラーが発生します。
Environment
- Windowsシステム用のクライアント nslookup ツールを使用するか、Unixベースのシステム用 のdig ツールを使用して DNS 、ドメインマッチングパロアルトネットワーク DNS スの署名に対するクエリを実行する
- PAN-OS 9.0 以上
- パロ アルト Firewall .
Cause
パロアルトネットワークスのデフォルトシンクホール IP アドレスは CNAME PAN-OS 、9.0以降のレコードに変更されます。 正規名レコードは別名 CNAME で、別名でエイリアスとして機能し、の DNS 代わりに別の名前を指します IP 。
- DNS悪意のあるドメインへのルックアップが実行されると、これは CNAME またはレコードの代わりに返されます A AAAA 。
- セキュリティと IR チームは、これらのドメインの解決を要求するすべてのクライアントを調査できます。
既定の CNAME レコードはsinkhole.paloaltonetworks.comされ、コンテンツの更新を使用して更新できます。
PAN-OS9.0 より前:
PAN-OS 9.0以上:
Resolution
Windowsシステムの場合 NSLOOKUP :
1. コマンド プロンプトを起動するか、[コマンド プロンプト >起動 ] > を使用 CMDして Windows コマンド プロンプトを起動します。
2. 入力NSLOOKUPして Enter キーを押します。 デフォルトのサーバーはローカルに設定されています DNS 。 IP
3. ## が DNS レコードの種類である set type=## を入力して、検索するレコードの種類を設定し、Enter キーを押します。 デフォルトのリソースレコードタイプは A 、前述のように回答が得られていない理由です。 この場合、 CNAME 解決の代わりにレコードの種類を使用します。
4. 次に、クエリを実行する悪意のあるドメイン名を入力し、Enter キーを押します。 ドキュメントに記載されているテスト ドメインにも同じことが 当てはまります。
5. NSLOOKUP CNAME レコードを 6 sinkhole.paloaltonetworks.com
返します。 ホスト/アプリケーション/感染ホストの動作によっては、レコード sinkhole.paloaltonetworks.com DNS のアドレスを取得するために2番目のルックアップが実行される場合があります IP CNAME 。
7. sinkhole.paloaltonetworks.comに ping を実行する際に応答を期待する必要があります。
または
Linux Dig (ドメイン情報 Groper) を使用してネームサーバーを照会するためのコマンドラインツール DNS です。 dig コマンドを使用すると、 DNS ホスト アドレス、メール交換、ネーム サーバーなど、さまざまなレコードに関する情報を照会できます。 システム管理者の中で最も一般的に使用されるツールは、 DNS 柔軟性と使いやすさがあるため、問題のトラブルシューティングに使用されます。
Additional Information
DNSアクティブなパロアルトネットワークスの署名と一致する検索が発生するたびに DNS 、対応するスパイウェアタイプのイベントが脅威ログに生成されます。
DNSレコードの解決プロセスに関する外部参照 CNAME は、こちらにあります。