¿Cómo puedo detectar una actividad maliciosa basada en patrones de solicitudes de DNS? [cerrado]

4

Quiero saber si un cliente está infectado al detectar actividad maliciosa según los patrones de solicitudes de DNS.
por ejemplo, suponga que alguien pirateó el sitio web de Google e insertó códigos en él y cuando el usuario haga clic en él, habrá múltiples consultas de DNS.
Supongamos que un patrón de consultas DNS como
solicitud 1: www.google.com
solicitud 2: www.intermediate.com
solicitud 3: www.malicious.com
solicitud 4: www.malaciouscontent.com
Aquí, la primera solicitud es válida y legítima, pero las solicitudes del 2º al 4º están causando debido a los códigos inyectados y ese patrón es lo que quiero detectar si dichas solicitudes se presentarán en el futuro.

    
pregunta Vaibhav Kankal 09.03.2017 - 11:28
fuente

1 respuesta

2

No hay manera de detectar de manera confiable todo el malware que usa solo el análisis de DNS, pero el análisis de DNS puede ayudar mucho.

Si bien es posible que se detecte algún malware en función del acceso a los dominios conocidos como malos (es decir, listas negras de dominios ), otros pueden detectarse porque use nombres de dominio poco comunes o use un algoritmo de generación de dominio conocido . Un análisis más profundo también puede destacar dominios que cambian rápidamente las asignaciones a la dirección IP, es decir, redes de flujo rápido . También hay un malware que se destaca por el uso de los registros TXT o similar. Pero también hay un malware que se comunica mediante sitios de redes sociales y, por lo tanto, no se destaca. En la mayoría de las redes. Y, por supuesto, hay un malware que utiliza direcciones IP fijas para la comunicación y, por lo tanto, no causa ningún tráfico de DNS.

En resumen: no hay una forma confiable de detectar malware utilizando únicamente el análisis de DNS. Pero el análisis de DNS puede ayudar mucho. Las formas más fáciles son probablemente las listas negras de DNS proporcionadas por varios proveedores o el uso de servidores DNS específicos como OpenDNS que ya bloquean muchas actividades sospechosas de DNS. Además, cuanto mejor conozcas tu red, más actividades inusuales se destacan. Esto puede indicar actividad de malware, pero también puede haber otras razones para una actividad inusual.

    
respondido por el Steffen Ullrich 09.03.2017 - 13:39
fuente

Lea otras preguntas en las etiquetas