¿Es este el fin del uso de malware de DNS?

Nota: PREDICT hizo la transición a IMPACT

  

¿Es este el fin del uso de malware de DNS?

No . Puede ajustar un poco el paisaje, pero no enormemente.

  

Parece que el conjunto de datos en el artículo de noticias podría proteger contra   ambos.

Es útil para detectar personas que utilizan malware que otras personas han detectado anteriormente. No es útil para atrapar a alguien que configura un dominio de quemador solo por su ataque en tu contra, o a alguien que aún no ha sido atrapado por otra persona.

  

El DNS en el segundo uso es más difícil de detener porque se comunica a través de   DNS en sí mismo en lugar de TCP / IP. Usando un servidor DNS para probar y filtrar   tráfico como este podría ser poco práctico.

Hay "firewalls DNS" que realizan este tipo de listas negras; perfectamente practico Sin embargo, de nuevo, muy limitado por las reglas del juego de "lista negra".

  

Por lo tanto, la cooperación como el conjunto de datos "Predecir" hace que el malware utilice DNS.   más arriesgado porque, a diario, acumulará decenas de   Miles de consultas de DNS e informan al mundo. No los encontrará todos, de   Por supuesto, pero probablemente lo suficiente como para hacer que el DNS sea más riesgoso.

     

Entonces, sabiendo esto, ¿por qué usar DNS?

Algo así como el conjunto de datos de DNS pasivo PREDICT GT Malware (en adelante PREDICT-GTMPDNS) incrementalmente aumenta el riesgo, pero ciertamente no diría que significativamente aumenta el riesgo. Los operadores malintencionados se sienten cómodos operando en un mundo donde sus sitios web basados en DNS pueden interceptarse mediante el filtrado de proxies, donde sus servidores de correo pueden bloquearse mediante RBL, y donde la regla de firewall intenta restringir el tráfico de salida.

Una de las razones por las que usan DNS es que es difícil de bloquear en la salida. Debido a la naturaleza indirecta de DNS, no se puede bloquear fácilmente parte de ella sin bloquearla por completo. Incluso puede hacer que el DNS apunte a algún lugar como benigno, luego cortarlo en algún lugar malintencionado brevemente mientras lo usa, luego apuntarlo hacia atrás ... difícil de hacer con una IP, fácil con DNS.

  

¿No sería más fácil y seguro desde el punto de vista del malware para   simplemente para contactar una o más direcciones IP directas en lugar de usar   DNS?

Históricamente, la inflexibilidad del direccionamiento IP directo ha disminuido su atractivo. PREDICT-GTMPDNS podría ayudar a reducir el atractivo del DNS, pero no lo suficiente como para descartarlo.

  

¿Por qué no solo omitir el registro de dominios y usar direcciones IP que   parpadea dentro y fuera de la existencia y sirve al mismo propósito?

Es más difícil que las direcciones IP "parpadeen dentro y fuera de la existencia" que los dominios. Y una vez que envías el malware con una dirección codificada, se queda atascado en esa dirección, y no puedes simplemente dejar de existir sin apagarte.

  

Quizás el problema de ralentizar el DNS al inspeccionar el tráfico de DNS   ¿Aún impide el uso completo de un conjunto de datos como "Predecir"?

El costo de la inspección de DNS es lo suficientemente bajo como para no ser un problema ... el problema real, como en cualquier lista negra , es el tamaño de la muestra y el tiempo de respuesta. Si las entradas de la base de datos cubren el 50% del malware, eso es increíblemente increíble ... y aún deja uno de cada dos exploits gratis para Maraud. Y digamos que el malware se encuentra, envía, ejecuta e indexa un día después del lanzamiento ... son 24 horas en las que el malware puede ejecutarse de forma gratuita antes de que la base de datos se ponga al día.

En realidad, creo que las entradas a PREDICT-GTMPDNS serán menos completas y más lentas para ponerse al día con las nuevas versiones de malware. Jugar a ponerse al día apesta.

Eso no quiere decir que PREDICT-GTMPDNS no sea una idea increíble. Es. Pero no es ningún tipo de bala de plata.