¿Es este el fin del uso de malware de DNS?

4

Leí sobre el lanzamiento de un conjunto de datos gratuito de consultas de DNS relacionadas con malware llamado "Predecir" . Un investigador o equipo de seguridad de la red puede descargar o consultar este conjunto de datos y utilizarlo para identificar la comunicación de malware mediante DNS. Los proveedores comerciales ya están proporcionando dichos servicios.

Sé de dos maneras en que el malware puede usar DNS.

  1. Busque la dirección de un sitio web con el que se supone que debe comunicarse para propósitos de comando y control.
  2. Use el DNS en sí mismo para hacer un túnel .

Parece que el conjunto de datos en el artículo de noticias podría proteger contra ambos.

En ese primer uso, el programa de malware genera una serie de nombres de dominio y consulta cada uno de ellos hasta que uno se resuelve en una dirección IP. El bot luego contacta con la dirección IP del servidor de comando y control. Esta fue una forma práctica de 1) No revelar direcciones IP específicas en el malware mismo. 2) recuperar si un servidor de Comando y Control en particular fue eliminado (o bloqueado por los administradores de la red).

El DNS en el segundo uso es más difícil de detener porque se comunica a través del DNS en lugar de TCP / IP. El uso de un servidor DNS para tratar de filtrar el tráfico de esta manera puede no ser práctico.

Por lo tanto, la cooperación como el conjunto de datos "Predecir" hace que el uso de malware del DNS sea más riesgoso porque, a diario, recopilará decenas de miles de consultas de DNS e informará al mundo. No los encontrará a todos, por supuesto, pero probablemente lo suficiente como para hacer que el DNS sea más riesgoso.

Entonces, sabiendo esto, ¿por qué usar DNS en absoluto? ¿No sería más fácil y más seguro desde el punto de vista del malware que simplemente se ponga en contacto con una o más direcciones IP directas en lugar de usar DNS? ¿Por qué no omitir el registro de dominios y usar direcciones IP que parpadean dentro y fuera de la existencia y tienen el mismo propósito? ¿Quizás el problema de ralentizar el DNS al inspeccionar el tráfico de DNS aún impida el uso completo de un conjunto de datos como "Predecir"?

    
pregunta mcgyver5 27.07.2015 - 16:51
fuente

1 respuesta

7

Nota: PREDICT hizo la transición a IMPACT

  

¿Es este el fin del uso de malware de DNS?

No . Puede ajustar un poco el paisaje, pero no enormemente.

  

Parece que el conjunto de datos en el artículo de noticias podría proteger contra   ambos.

Es útil para detectar personas que utilizan malware que otras personas han detectado anteriormente. No es útil para atrapar a alguien que configura un dominio de quemador solo por su ataque en tu contra, o a alguien que aún no ha sido atrapado por otra persona.

  

El DNS en el segundo uso es más difícil de detener porque se comunica a través de   DNS en sí mismo en lugar de TCP / IP. Usando un servidor DNS para probar y filtrar   tráfico como este podría ser poco práctico.

Hay "firewalls DNS" que realizan este tipo de listas negras; perfectamente practico Sin embargo, de nuevo, muy limitado por las reglas del juego de "lista negra".

  

Por lo tanto, la cooperación como el conjunto de datos "Predecir" hace que el malware utilice DNS.   más arriesgado porque, a diario, acumulará decenas de   Miles de consultas de DNS e informan al mundo. No los encontrará todos, de   Por supuesto, pero probablemente lo suficiente como para hacer que el DNS sea más riesgoso.

     

Entonces, sabiendo esto, ¿por qué usar DNS?

Algo así como el conjunto de datos de DNS pasivo PREDICT GT Malware (en adelante PREDICT-GTMPDNS) incrementalmente aumenta el riesgo, pero ciertamente no diría que significativamente aumenta el riesgo. Los operadores malintencionados se sienten cómodos operando en un mundo donde sus sitios web basados en DNS pueden interceptarse mediante el filtrado de proxies, donde sus servidores de correo pueden bloquearse mediante RBL, y donde la regla de firewall intenta restringir el tráfico de salida.

Una de las razones por las que usan DNS es que es difícil de bloquear en la salida. Debido a la naturaleza indirecta de DNS, no se puede bloquear fácilmente parte de ella sin bloquearla por completo. Incluso puede hacer que el DNS apunte a algún lugar como benigno, luego cortarlo en algún lugar malintencionado brevemente mientras lo usa, luego apuntarlo hacia atrás ... difícil de hacer con una IP, fácil con DNS.

  

¿No sería más fácil y seguro desde el punto de vista del malware para   simplemente para contactar una o más direcciones IP directas en lugar de usar   DNS?

Históricamente, la inflexibilidad del direccionamiento IP directo ha disminuido su atractivo. PREDICT-GTMPDNS podría ayudar a reducir el atractivo del DNS, pero no lo suficiente como para descartarlo.

  

¿Por qué no solo omitir el registro de dominios y usar direcciones IP que   parpadea dentro y fuera de la existencia y sirve al mismo propósito?

Es más difícil que las direcciones IP "parpadeen dentro y fuera de la existencia" que los dominios. Y una vez que envías el malware con una dirección codificada, se queda atascado en esa dirección, y no puedes simplemente dejar de existir sin apagarte.

  

Quizás el problema de ralentizar el DNS al inspeccionar el tráfico de DNS   ¿Aún impide el uso completo de un conjunto de datos como "Predecir"?

El costo de la inspección de DNS es lo suficientemente bajo como para no ser un problema ... el problema real, como en cualquier lista negra , es el tamaño de la muestra y el tiempo de respuesta. Si las entradas de la base de datos cubren el 50% del malware, eso es increíblemente increíble ... y aún deja uno de cada dos exploits gratis para Maraud. Y digamos que el malware se encuentra, envía, ejecuta e indexa un día después del lanzamiento ... son 24 horas en las que el malware puede ejecutarse de forma gratuita antes de que la base de datos se ponga al día.

En realidad, creo que las entradas a PREDICT-GTMPDNS serán menos completas y más lentas para ponerse al día con las nuevas versiones de malware. Jugar a ponerse al día apesta.

Eso no quiere decir que PREDICT-GTMPDNS no sea una idea increíble. Es. Pero no es ningún tipo de bala de plata.

    
respondido por el gowenfawr 27.07.2015 - 17:54
fuente

Lea otras preguntas en las etiquetas