Преступники при первой возможности используют в своих интересах любую службу или протокол интернета. В этой статье описано шесть признаков подозрительной деятельности, которые нужно отслеживать в системе доменных имен (DNS).
Перед ИТ-администраторами поставлена неблагодарная задача следить за устройствами, вычислительными узлами и сетями в поисках признаков вредоносной деятельности. Обнаружение несанкционированного доступа к узлам и защита рабочих станций могут входить в состав обязательных мер безопасности для многих организаций, но нет никаких способов, кроме контроля трафика DNS, позволяющих обнаружить средство удаленного управления (RAT), руткит, постоянную угрозу повышенной сложности (APT) или другую вредоносную программу, обосновавшуюся в ваших сетях.
Почему DNS?
Преступники при первой возможности используют в своих интересах любую службу или протокол интернета, к которым относится и DNS. Они регистрируют одноразовые доменные имена для рассылки спама и управления бот-сетями, а также используют взломанные домены для фишинга или загрузки вредоносных программ. Они отправляют вредоносные запросы, чтобы воспользоваться серверами имен или нарушить преобразование доменных имен в адреса. Они хитроумно внедряют ответы на запросы, позволяющие «отравить» кэш определителей имен или усилить атаки типа «отказ в обслуживании». Они даже используют DNS как скрытый канал для эксфильтрации данных или обновления вредоносных программ.
Задача своевременного обнаружения каждого нового злоупотребления в DNS может оказаться невыполнимой, однако доступны профилактические меры: использование брандмауэров, систем обнаружения вторжений в сеть (IDS) или определителей имен для получения сообщений о некоторых признаках подозрительных действий в DNS.
Что следует искать?
Структура запроса DNS и модель трафика позволяют обнаружить признаки подозрительной или вредоносной деятельности, источником которой являются ваши сети. Например:
DNS запросы DNS с поддельными адресами источников или адресами, на использование которых вы не давали разрешения, но и не подвергали выходной фильтрации, особенно в сочетании с необычно высоким количеством запросов DNS или с запросами DNS, использующими протокол TCP вместо протокола UDP, могут свидетельствовать об участии зараженных узлов вашей сети в DDoS-атаке.
Искаженные запросы DNS возможно являются симптомом атаки с использованием уязвимости сервера или определителя имен, который можно идентифицировать по IP-адресу места назначения. Это также может свидетельствовать о наличии у вас неправильно функционирующих сетевых устройств. Причинами проблем такого рода могут быть вредоносные программы или неудачные попытки удалить эти программы.
Запросы DNS на разрешение имен известных вредоносных доменов или имен с характеристиками, которые свойственны алгоритмам генерации доменов (DGA), связанным с криминальными бот-сетями, а также несанкционированные запросы к определителям во многих случаях являются неопровержимыми свидетельствами наличия в ваших сетях зараженных узлов.
Ответы DNS также содержат признаки того, что на узлы вашей сети поступают подозрительные или вредоносные данные. Например, длина или структура ответов DNS позволяет раскрыть злой умысел или преступные намерения. Например, когда ответные сообщения аномально большие (атака с усилением) или сегменты ответного сообщения, содержащие ответ или дополнительные данные, вызывают подозрения («отравление» кэша, скрытый канал).
Ответы DNS для вашего собственного портфеля доменов, которые возвращают IP-адреса, отличающиеся от опубликованных вами в своих полномочных зонах, ответы от серверов имен, на которых вы не давали разрешения размещать свою зону, и положительные ответы при определении адресов тех имен в вашей зоне, которые должны возвращать сообщение об ошибке (NXDOMAIN), могут указывать на взлом доменного имени или учетной записи регистрации или на видоизменение ответа DNS.
Ответы DNS с подозрительных IP-адресов, например адресов из блоков IP, выделенных сети широкополосного доступа, появление трафика DNS на нестандартном порту, чрезмерно большое количество ответных сообщений на запросы с коротким временем существования (TTL) или чрезмерно большое количество ответов, содержащих «ошибку разрешения имени» (NXDOMAIN),часто являются признаками выполнения вредоносных программ на зараженных узлах, контролируемых бот-сетью.
Различные виды контроля DNS позволяют выявить эти угрозы, часто в режиме реального времени. В части II я рассматриваю способы внедрения механизмов, позволяющих обнаружить эти угрозы на брандмауэрах интернета, при помощи систем обнаружения вторжения в сеть, анализа трафика или данных журналов.
Эта статья впервые была опубликована 12 июня 2014 года на веб-сайте сообщества Dark Reading.