DNS-monitoring

Mivel a blog eddig sem a teljesen kezdőket célozta a mondanivalójával, nem kívánok olyan alapfogalmak kifejtésébe belemenni, mi is a DNS. Ehelyett inkább arra fókuszálnék, mire lehet használni a DNS-monitoringot a védekezésben.

Ha manapság "kitesszük a lábunkat" az Internetre, két dologgal biztosan találkozunk: fenyegetésekkel és a DNS szolgáltatással. Ezek azonban igen gyakran jelen vannak vállalati hálózatokban is. Ha a szóban forgó vállakozás Windows Active Directory-t használ, DNS biztosan használatban van. Természetesen lehet Active Directory-t telepíteni DNS nélkül is (a role-based ADDS telepítése nem húzza be függőségként), de a zökkenőmentes működéshez szükség lesz rá. Természetesen *nix-alapú hálózatokban is találkozhatunk vele.

Mi a helyzet a fenyegetésekkel? Előfordulhat, hogy bizonyos kártevők bejutnak a hálózatba - a háttérben lehet 0day, emberi hiba, vagy foltozatlan sérülékenység (ez nem feltétlenül sorolandó az emberi hiba kategóriába) miatt. Manapság igen gyakori, hogy a kártevők command-and-control (c2) szervert vagy kikapcsológombot keresnek szabványos DNS kéréseken keresztül.


Command-and-control (c2)


Command-and-control kérések esetén a hálózatba bejutott kártevő megpróbálja felvenni a kapcsolatot a támadók irányítása alatt álló szerverrel. Jelzi, hogy bejutott a hálózatba és esetleg további modulokat és/vagy utasításokat tölt le, a támadó szándékainak megfelelően. Ha hasonló DNS kérelmeket látunk, mint


asdfgtziuklhg411[.]com
asdfgtziuklhg412[.]com
asdfgtziuklhg413[.]com
asdfgtziuklhg414[.]com
asdfgtziuklhg415[.]com

akkor gyanakodjunk, minimum izoláljuk az ilyen kéréseket küldő gépet a hálózattól (tételezzük fel, hogy nem asdfgtziuklhg a cégünk, rendszereink neve). Az is megeshet, hogy a c2 gépek nincsenek regisztrálva az Internet DNS rendszerében, ilyenkor direkt IP-cím kéréseket fogunk látni a hálózati logokban.


Kikapcsológomb (kill switch)


Nemigen hiszem, hogy találhatnánk ekletánsabb példát, mint a WannaCry. A WannaCry a titkosítás megkezdése előt megpróbálja felvenni a kapcsolatot néhány domainnel (a teljesség igénye nélkül):

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

Amennyiben a DNS névfeloldás sikeres, a malware leállítja magát. Joggal merül fel a kérdés: a WannaCry több, mint 3 éves, hogyan kerülhet be akármilyen számítógépre? Nos, ha visszagondolunk az Equifax-betörésre, látható, hogy minél nagyobb egy hálózat, annál nagyobb a valószínűsége, hogy nincs minden eszköz regisztrálva, ennélfogva menedzselve sem, így ezek könnyen áldozatul eshetnek hasonló kártevőknek.


Egyéb lehetőségek


Látható, hogy a megfelelő DNS-monitoring lehetőséget ad olyan kártevők felfedezésére, amelyek valamilyen ok miatt egyébként nem kerülnek a radarra. A DNS-monitoring ugyanakkor azt is biztosítja, hogy olyan kártevők nyomára bukkanjunk, amelyek csak a hálózatban léteznek (fileless / living-off-the-land). Természetesen az ilyen kártevők kiszűrésére vannak egyéb alkalmazható eljárások is, például memory-dumpok vizsgálata, bár szerintem a DNS és hálózati monitoring lényegesen egyszerűbb. Jó vadászatot!

2020.12.12.
CoreSec