Leí sobre el lanzamiento de un conjunto de datos gratuito de consultas de DNS relacionadas con malware llamado "Predecir" . Un investigador o equipo de seguridad de la red puede descargar o consultar este conjunto de datos y utilizarlo para identificar la comunicación de malware mediante DNS. Los proveedores comerciales ya están proporcionando dichos servicios.
Sé de dos maneras en que el malware puede usar DNS.
- Busque la dirección de un sitio web con el que se supone que debe comunicarse para propósitos de comando y control.
- Use el DNS en sí mismo para hacer un túnel .
Parece que el conjunto de datos en el artículo de noticias podría proteger contra ambos.
En ese primer uso, el programa de malware genera una serie de nombres de dominio y consulta cada uno de ellos hasta que uno se resuelve en una dirección IP. El bot luego contacta con la dirección IP del servidor de comando y control. Esta fue una forma práctica de 1) No revelar direcciones IP específicas en el malware mismo. 2) recuperar si un servidor de Comando y Control en particular fue eliminado (o bloqueado por los administradores de la red).
El DNS en el segundo uso es más difícil de detener porque se comunica a través del DNS en lugar de TCP / IP. El uso de un servidor DNS para tratar de filtrar el tráfico de esta manera puede no ser práctico.
Por lo tanto, la cooperación como el conjunto de datos "Predecir" hace que el uso de malware del DNS sea más riesgoso porque, a diario, recopilará decenas de miles de consultas de DNS e informará al mundo. No los encontrará a todos, por supuesto, pero probablemente lo suficiente como para hacer que el DNS sea más riesgoso.
Entonces, sabiendo esto, ¿por qué usar DNS en absoluto? ¿No sería más fácil y más seguro desde el punto de vista del malware que simplemente se ponga en contacto con una o más direcciones IP directas en lugar de usar DNS? ¿Por qué no omitir el registro de dominios y usar direcciones IP que parpadean dentro y fuera de la existencia y tienen el mismo propósito? ¿Quizás el problema de ralentizar el DNS al inspeccionar el tráfico de DNS aún impida el uso completo de un conjunto de datos como "Predecir"?