Вопросы Теги

Pyetja e dyshimtë DNS çon në "Paralajmërim për mbrojtje nga ndërhyrja" në Sophos UTM

Raporton një klient i Sophos-UTM Paralajmërim për mbrojtje nga ndërhyrja Paralajmërim TREGUESI-KOMPROMISE pyetje e dyshimtë .nul dns : 

2019:01:15-11:54:13 utm-ba snort[31619]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="INDICATOR-COMPROMISE suspicious .null dns query" group="241" srcip="192.168.0.1" dstip="192.168.0.254" proto="17" srcport="49445" dstport="53" sid="48666" class="Misc activity" priority="3" generator="1" msgid="0"

Ne mundësuam regjistrimin e DNS në kontrolluesin e domenit dhe marrjen e këtyre të dhënave (Emrat janë të fiksuar)

Nga regjistri DNS i kontrolluesit të domenit

Pajisjet në regjistër

  • 192.168.0.1 = kontrolluesi i domenit (DomainServer.dom.local)
  • 192.168.0.16 = QNAP NAS
  • 192.168.0.254 = Sophos UTM 
15.01.2019 11:53:39 2728 PACKET  000000E796562170 UDP Rcv 192.168.0.16    4c9e   Q [0001   D   NOERROR] AAAA   (12)NameOfServer(3)dom(5)local(3)dev(4)null(0)
UDP question info at 000000E796562170
  Socket = 556
  Remote addr 192.168.0.16, port 56856
  Time Query=533586, Queued=0, Expire=0
  Buf length = 0x0fa0 (4000)
  Msg length = 0x0031 (49)
  Message:
    XID       0x4c9e
    Flags     0x0100
      QR        0 (QUESTION)
      OPCODE    0 (QUERY)
      AA        0
      TC        0
      RD        1
      RA        0
      Z         0
      CD        0
      AD        0
      RCODE     0 (NOERROR)
    QCOUNT    1
    ACOUNT    0
    NSCOUNT   0
    ARCOUNT   0
    QUESTION SECTION:
    Offset = 0x000c, RR count = 0
    Name      "(12)NameOfServer(3)dom(5)local(3)dev(4)null(0)"
      QTYPE   AAAA (28)
      QCLASS  1
    ANSWER SECTION:
      empty
    AUTHORITY SECTION:
      empty
    ADDITIONAL SECTION:
      empty

15.01.2019 11:53:39 2728 PACKET  000000E7932A4220 UDP Snd 192.168.0.254   4eb1   Q [0001   D   NOERROR] AAAA   (12)NameOfServer(3)dom(5)local(3)dev(4)null(0)
UDP question info at 000000E7932A4220
  Socket = 11688
  Remote addr 192.168.0.254, port 53
  Time Query=0, Queued=0, Expire=0
  Buf length = 0x0fa0 (4000)
  Msg length = 0x003c (60)
  Message:
    XID       0x4eb1
    Flags     0x0100
      QR        0 (QUESTION)
      OPCODE    0 (QUERY)
      AA        0
      TC        0
      RD        1
      RA        0
      Z         0
      CD        0
      AD        0
      RCODE     0 (NOERROR)
    QCOUNT    1
    ACOUNT    0
    NSCOUNT   0
    ARCOUNT   1
    QUESTION SECTION:
    Offset = 0x000c, RR count = 0
    Name      "(12)NameOfServer(3)dom(5)local(3)dev(4)null(0)"
      QTYPE   AAAA (28)
      QCLASS  1
    ANSWER SECTION:
      empty
    AUTHORITY SECTION:
      empty
    ADDITIONAL SECTION:
    Offset = 0x0031, RR count = 0
    Name      "(0)"
      TYPE   OPT  (41)
      CLASS  4000
      TTL    32768
      DLEN   0
      DATA   
        Buffer Size  = 4000
        Rcode Ext    = 0
        Rcode Full   = 0
        Version      = 0
        Flags        = 80 DO

Pyetje:

  • A ka dikush ndonjë shpjegim pse kjo është një kërkesë potencialisht e rrezikshme?
  • A i detyrohet vetëm (3) dev (4) nul (0 ] pjesë e kërkesës?

(Ne aktualisht nuk e dimë pse janë dërguar këto kërkesa dhe unë tashmë kam kërkuar në Superuser: pyetjet e DNS "DomainServer.dom.local.dev.null" nga QNAP NAS )

1
задан 16 January 2019 в 15:46
1 ответ

Обнаружение вторжений и предотвращение вторжений часто представляют собой своего рода поведенческий анализ - Sophos не видит реальной вредоносной активности, такой как известное вредоносное ПО или что-то подобное,но он видит что-то, что может быть связано со злонамеренными действиями.

В вашем случае Sophos видит DNS-запрос для .null и может предположить, что этот TLD, вероятно, связан со спамерами или другими злоумышленниками. То же самое происходит с .top или .ml - мы часто получаем предупреждающие сообщения с этими TLD. Посещаемые сайты являются настоящими и не являются вредоносными, но, насколько я читал, они часто используются в связи с вредоносным ПО, спамом, серверами c & c и т. Д.

Об обозначении (12) NameOfServer (3) dom (5 ) local (3) dev (4) null (0) - это только обозначение, которое DNS-сервер Windows регистрирует запросы. Для получения дополнительной информации об этом прочтите этот ответ ServerFault .

РЕДАКТИРОВАТЬ: По запросу, вот пример нашего журнала Sophos, самой последней записи с сегодняшнего дня (интересный факт - клиент был моим , а TLD был .glue ...): 

2019:01:23-12:59:29 gate-1 snort[15859]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="INDICATOR-COMPROMISE suspicious .glue dns query" group="241" srcip="[client-ip-address]" dstip="[dns-server-address]" proto="17" srcport="53831" dstport="53" sid="48713" class="Misc activity" priority="3" generator="1" msgid="0"

Я не могу предоставить запись в журнале Windows DNS - я изучал эти сообщения несколько недель назад и включил журнал в течение дня, но обычно у нас он отключен.

Также я снова думал о том, почему вы получаете это сообщение - готов поспорить, что где-то на NAS есть конфигурация сети (возможно, сам NAS или установленное приложение), где кто-то (раз уж он есть. dev.null Я готов поспорить, что администратор Linux ...) не хотел вводить реальные данные, поэтому он ввел поддельные имена хостов DNS.

1
ответ дан 3 December 2019 в 23:08

Теги

Похожие вопросы