Was sind die Bedrohungs-IDs 109000001, 109001001 und 109001002? Warum haben verschiedene DGA Domänen[Spyware]-Bedrohungsprotokolle die gleiche Bedrohung ID 109000001?
51978
Created On 04/15/20 17:47 PM - Last Modified 04/22/24 20:24 PM
Question
Was sind diese drei neuen Bedrohungs-IDs: 109000001, 109001001 und 109001002?
Warum haben mehrere Spyware-Domänen dieselbe Bedrohung ID 109000001?
Environment
- PAN-OS 9.0 oder höher
- Threat Prevention-Lizenz
- DNS Security Lizenz
Answer
Frage: Was sind diese drei neuen Bedrohungs-IDs: 109000001, 1090001001 und 109001002?
Antwort: Mit dem DNS security Abonnement wurden drei neue Spyware-Signaturen eingeführt, um Echtzeitschutz zu DNS bieten.
- Domänengenerierungsalgorithmen (DGAs) für Bedrohung ID 109000001
- DGAs verwenden Algorithmen, um eine große Anzahl von gefälschten Domain-Namen zu generieren, um das Erkennungssystem zu überfluten und einen echten Malware-Befehls- und Steuerungsserver auszublenden. Alle diese Domain-Server als Zerstörung, um die Malware-Datenbank zu füllen, so dass echte C2-Server ausgeblendet werden können.
- DNS Tunnelerkennung für Bedrohung ID 109001001
- DNS Tunneling wird von Angreifern verwendet, um Daten von DNS Nicht-Programmen und Protokollen innerhalb von Abfragen und Antworten auf den Schmuggel von Daten und Dateien zu kodieren. DNSEin Angreifer kann das Tunneling für einen geöffneten Back-Kanal verwenden oder remote auf die Datei zugreifen.
- DNSEchtzeit-Erkennung: DNS Tunneling 109001002
- Signatur, die aus der Cloud geliefert wird.
Frage: Warum haben mehrere Spyware-Domänen die gleiche Bedrohung ID :109000001?
Antwort: Domänengenerierungsalgorithmen (Domain Generation Algorithms, DGAs) werden von Angreifern verwendet, um eine größere Anzahl von Domänen zu generieren, um den aktiven Befehls- und Steuerungsserver (C2) innerhalb einer großen Anzahl möglicher Verdächtiger zu verbergen. Die meisten Domänen, die vom basierten Algorithmus erstellt werden, DGA- werden nicht in eine gültige Adresse oder einen gültigen Host IP aufgelöst. Da solche Domains sind nicht gültig, kurzlebig, und riesig in der Anzahl, wird es eine Verschwendung von Ressourcen sein, um einzigartige Bedrohung zu ID bieten; jedoch sollte es durch Bedrohung identifizieren ID . Aus diesem Grund weist eine einzelne Bedrohung TID 109000001 auf die DGA Spyware-Domäne hin.
Additional Information
Frage: Für die DGA Domäne verfügen die Bedrohungsprotokolle und Datenverkehrsprotokolle nicht über eine Zuordnung zu eins. Beispielsweise zeigen Verkehrsprotokolle 20 Einträge für DNS Abfragen an, aber Bedrohungsprotokolle haben nur 5 oder 6 Einträge für TID 10900001.
Antwort: Bedrohungsprotokolle werden alle fünf Millisekunden aggregiert. Das bedeutet, dass für TID eine beliebige Anzahl von Erkennungseinträgen (109000001) für alle 5 Millisekunden ein einzelner Bedrohungseintrag generiert DGA wird.