威胁 ID 10900001、109001001 和 109001002 是什么? 为什么不同的 DGA 域[间谍软件]威胁日志具有相同的威胁 ID 109000001?
51972
Created On 04/15/20 17:47 PM - Last Modified 04/22/24 20:24 PM
Question
这三个新威胁 ID 是什么:109000001、109001001 和 109001002?
为什么多个间谍软件域有相同的威胁 ID 109000001?
Environment
- PAN-OS 9.0 或更高
- 威胁防护许可证
- DNS Security 许可证
Answer
问题: 这三个新的威胁 ID 是什么:1090000001、1090001001 和 109001002?
答案: 订阅后 DNS security ,引入了三个新的间谍软件签名,以提供实时 DNS 保护。
- 威胁域生成算法 (DGAs) ID 109000001
- DDA 使用算法生成大量假域名来充斥检测系统并隐藏真正的恶意软件命令和控制服务器。 所有这些域服务器作为破坏,以填补恶意软件数据库,所以真正的C2服务器可以隐藏。
- DNS 威胁的隧道检测 ID 109001001
- DNS 攻击者使用隧道在 DNS 查询和对走私数据和文件的响应中编码非程序 DNS 和协议的数据。攻击者可以使用隧道进行打开的回通道,也可以远程访问该文件。
- 实时 DNS 检测:隧道 DNS 109001002
- 从云中传递的签名。
问题:为什么多个间谍软件域有相同的威胁 ID :109000001?
答案:攻击者使用域生成算法 (DGAs) 生成大量域,将主动命令和控制 (C2) 服务器隐藏在大量可能的嫌疑人中。 基于算法创建的大多数域 DGA- 不会解决到有效的 IP 地址或主机。 由于这些领域无效、寿命短、数量庞大,因此提供独特的威胁将是对资源的浪费 ID :然而,它应该通过威胁来识别 ID 。 因此,单个威胁 TID 109000001 表示间谍软件 DGA 域。
Additional Information
问题:对于 DGA 域,威胁日志和流量日志没有一对一的映射。 例如,流量日志显示 20 个 DNS 查询条目,但威胁日志只有 TID 10900001 的 5 个或 6 个条目。
答案: 威胁日志每五毫秒聚合一次。 这意味着 TID 每 5 毫秒生成一个威胁条目 (109000001),用于任何数量的 DGA 检测。