Quelle est la menace IDs 109000001, 109001001 et 109001002? Pourquoi différents DGA domaines [spyware] journaux de menaces ont menace identique ID 109000001?
51966
Created On 04/15/20 17:47 PM - Last Modified 04/22/24 20:24 PM
Question
Quelles sont ces trois nouvelles menaces : 109000001, 109001001 et 109001002?
Pourquoi plusieurs domaines de logiciels espions ont la même menace ID 109000001?
Environment
- PAN-OS 9,0 ou plus
- Licence de prévention des menaces
- DNS Security Licence
Answer
Question: Quelles sont ces trois nouvelles menaces d’iD: 1090000001, 1090001001, et 109001002?
Réponse: Avec DNS security l’abonnement, trois nouvelles signatures de logiciels espions ont été introduites pour fournir une protection en temps DNS réel.
- Algorithmes de génération de domaine (DGA) pour la ID menace 109000001
- Les DGA utilisent des algorithmes pour générer un grand nombre de faux noms de domaine pour inonder le système de détection et masquer un véritable serveur de commande et de contrôle des logiciels malveillants. Tous ces serveurs de domaine comme destruction pour remplir la base de données de logiciels malveillants afin réel serveur C2 peut être caché.
- DNS Détection des tunnels pour la ID menace 109001001
- DNS tunneling est utilisé par les attaquants pour coder des données de DNS non-programmes et de protocoles dans les DNS requêtes et les réponses à la contrebande de données et de fichiers.Un attaquant peut utiliser le tunneling pour un canal arrière ouvert ou peut accéder à distance au fichier.
- Détection en temps DNS réel : DNS Tunnelage 109001002
- Signature livrée à partir du nuage.
Question: Pourquoi plusieurs domaines de logiciels espions ont la même ID menace:109000001?
Réponse: Les algorithmes de génération de domaine (DGA) sont utilisés par les attaquants pour générer un plus grand nombre de domaines pour masquer le serveur de commande et de contrôle actif (C2) dans un grand nombre de suspects possibles. La plupart des domaines créés par DGA- l’algorithme basé ne se résolvent pas à une adresse ou un hôte IP valide. Étant donné que ces domaines ne sont pas valides, de courte durée et en grand nombre, ce sera un gaspillage de ressources pour fournir une menace unique ID ; cependant, il devrait identifier par la menace ID . Pour cette raison, une seule menace TID 109000001 indique le domaine des logiciels DGA espions.
Additional Information
Question: Pour le DGA domaine, le journal des menaces et les journaux de trafic n’ont pas de mappage un à un. Par exemple, les journaux de trafic affichent 20 DNS entrées pour les requêtes, mais les journaux de menaces n’ont que 5 ou 6 entrées TID pour 10900001.
Réponse: Les journaux de menaces sont agrégés toutes les cinq millisecondes. Cela signifie qu’une entrée de menace unique TID (109000001) est générée toutes les 5 millisecondes pour n’importe quel nombre de DGA détection.