¿Cuáles son los ID de amenaza 109000001, 109001001 y 109001002? ¿Por qué los registros de amenazas de dominios diferentes DGA [spyware] tienen una amenaza idéntica ID 109000001?
51960
Created On 04/15/20 17:47 PM - Last Modified 04/22/24 20:24 PM
Question
¿Cuáles son estos tres nuevos ID de amenaza: 109000001, 109001001 y 109001002?
¿Por qué varios dominios espía tienen la misma amenaza ID 109000001?
Environment
- PAN-OS 9.0 o superior
- Licencia de Prevención de Amenazas
- DNS Security Licencia
Answer
Pregunta: ¿Cuáles son estos tres nuevos ID de amenaza: 1090000001, 1090001001 y 109001002?
Respuesta: Con la DNS security suscripción, se introdujeron tres nuevas firmas de spyware para proporcionar protección en tiempo DNS real.
- Algoritmos de generación de dominio (DGA) para la amenaza ID 109000001
- Los DGA utilizan algoritmos para generar un gran número de nombres de dominio falsos para inundar el sistema de detección y ocultar un servidor de comando y control de malware real. Todos estos servidores de dominio como destrucción para llenar la base de datos de malware para que el servidor C2 real se puede ocultar.
- DNS Detección de túneles para amenaza ID 109001001
- DNS túneles es utilizado por los atacantes para codificar datos de no programas y protocolos dentro de DNS consultas y respuestas a datos y archivos de DNS contrabando.Un atacante puede utilizar la tunelización para un canal trasero abierto o puede acceder de forma remota al archivo.
- Detección en tiempo DNS real: DNS Tunelización 109001002
- Firma entregada desde la nube.
Pregunta: ¿Por qué varios dominios espía tienen la misma ID amenaza:109000001?
Respuesta: Los atacantes utilizan algoritmos de generación de dominio (DGA) para generar un mayor número de dominios para ocultar el servidor de comando y control(C2) activo dentro de un gran número de posibles sospechosos. La mayoría de los dominios creados por el DGA- algoritmo basado no se resuelven en una dirección o host IP válido. Dado que estos dominios no son válidos, efímeros y enormes en número, será un desperdicio de recursos proporcionar una amenaza ID única; sin embargo, debe identificarse por ID amenaza. Por esta razón, una sola amenaza TID 109000001 indica el DGA dominio spyware.
Additional Information
Pregunta: Para el dominio, los DGA registros de amenazas y los registros de tráfico no tienen asignación de uno a uno. Por ejemplo, los registros de tráfico muestran 20 entradas para DNS las consultas, pero los registros de amenazas solo tienen 5 o 6 entradas para TID 10900001.
Respuesta: Los registros de amenazas se agregan cada cinco milisegundos. Esto significa que se genera una sola entrada de amenaza TID (109000001) por cada 5 milisegundos para cualquier número de DGA detección.