脅威 ID 10900001、109001001、109001002 は何ですか? 異なる DGA ドメイン[スパイウェア]脅威ログが同一の脅威 ID 109000001を持つ理由
51960
Created On 04/15/20 17:47 PM - Last Modified 04/22/24 20:24 PM
Question
109000001、109001001、および109001002の3つの新しい脅威IDは何ですか?
複数のスパイウェアドメインに同じ脅威 ID が 10900001 と考える理由
Environment
- PAN-OS 9.0 以上
- 脅威対策ライセンス
- DNS Security ライセンス
Answer
質問: 1090000001、1090001001、および109001002の3つの新しい脅威IDは何ですか?
答え: サブスクリプションでは DNS security 、リアルタイム保護を提供するために 3 つの新しいスパイウェア署名が導入されました DNS 。
- 脅威 109000001 のドメイン生成アルゴリズム (DG) ID
- DG は、アルゴリズムを使用して多数の偽のドメイン名を生成して検出システムをあふれさせ、実際のマルウェア コマンドと制御サーバーを隠します。 これらのドメイン サーバーはすべて、マルウェア データベースをいっぱいにする破壊として、実際の C2 サーバーを非表示にすることができます。
- DNS 脅威 ID 109001001 のトンネリング検出
- DNS トンネリングは、クエリ内の非プログラムやプロトコルのデータをエンコードするために攻撃者によって使用 DNS DNS され、データとファイルの密輸に対する応答。攻撃者は、オープンバック チャネルにトンネリングを使用するか、リモートでファイルにアクセスできます。
- リアルタイム DNS 検出: DNS トンネル 109001002
- クラウドから提供される署名。
質問:複数のスパイウェアドメインが同じ脅威を持つ理由 ID :109000001?
答え:ドメイン生成アルゴリズム (DG) は攻撃者によって使用され、多数のドメインを生成して、多数の可能性がある疑いの中でアクティブなコマンドと制御(C2) サーバーを隠します。 ベースのアルゴリズムによって作成されたほとんどのドメイン DGA- は、有効な IP アドレスまたはホストに解決されません。 このようなドメインは有効ではなく、短命で膨大な数であるため、固有の脅威を提供するリソースの無駄になります ID ID 。 このため、1 つの脅威 TID 109000001 はスパイウェア ドメインを示 DGA します。
Additional Information
質問:ドメインの DGA 脅威ログとトラフィック ログには、1 対 1 のマッピングはありません。 たとえば、トラフィック ログにはクエリのエントリが 20 個 DNS 表示されますが、脅威ログには 10900001 のエントリが 5 個または 6 個しか記録されません TID 。
答え: 脅威ログは 5 ミリ秒ごとに集約されます。 つまり、検出の数が 1 つでも 5 ミリ秒ごとに 1 つの脅威エントリ TID (109000001) が生成されます DGA 。