¿El bloqueo basado en DNS protege contra el ransomware?

4

He estado buscando en OpenDNS como un posible uso en mi empresa, y afirman que el ransomware estilo Cryptolocker casi siempre usa DNS para" llamar a casa "y que OpenDNS bloquea esto, evitando que el ransomware haga algo malicioso. Esto me parece un poco dudoso, ya que creo que los creadores de malware serían IP de código duro o IP de servidor DNS de código duro (como una versión sombreada de 8.8.8.8) en lugar de usar el servidor DNS predeterminado del sistema operativo. Obtengo que las IP codificadas para el controlador de botnet (o donde sea que el malware está llamando a casa) podrían ser problemáticas si esa IP se cierra o se bloquea, pero me imagino que podrían usar un DNS diferente que continuaría resolviendo su nombre de host incluso si Lo estaban usando de manera infeliz.

¿Me estoy perdiendo algo? ¿Es realmente así como actúa el ransomware en la naturaleza, o es este reclamo solo de marketing? ¿Hay alguna razón técnica por la que el ransomware use el servidor DNS del sistema operativo y no pueda usar el suyo propio?

    
pregunta thunderblaster 15.10.2015 - 17:40
fuente

3 respuestas

2

Sí, esto lo bloqueará. Usar una dirección IP codificada para cualquier cosa como cracker es una idea horrible, ya que te une a un solo punto. Si eres un cracker, quieres mantenerte móvil, moverte y de esa manera no pueden encontrarte. Estar vinculado a una única dirección IP estática te hace REALMENTE fácil de encontrar. De lo contrario, primero tendría que enviar una nueva versión del malware con el DNS para mañana, y luego ese patrón podría ser FÁCIL de encontrar una vez que alguien simplemente se conecte manualmente, obtenga el nuevo malware, saque el DNS, encuentre la IP registrada para mañana. , va y acecha, y luego te atrapan.

Este problema se resuelve en su extremo mediante el uso de un DNS para mantener las direcciones IP flotantes vinculadas a sus dominios. Este DNS debe contactarse para "llamar a casa" a un servidor que enviará un comando a la botnet. OpenDNS registra estas botnets maliciosas y las bloquea en un nivel de DNS, por lo que el sistema operativo y la computadora infectada no tienen idea de que ni siquiera pueden alcanzar la botnet. Simplemente piensa que el cracker no está haciendo nada en este momento, y por lo tanto no se une a la botnet. Para hacer esto, OpenDNS solo impide el acceso a esos servidores.

    
respondido por el Robert Mennell 15.10.2015 - 19:37
fuente
0

algunos firewalls de próxima generación interceptan consultas de DNS, incluso si se envían a 8.8.8.8 o cualquier otro servicio de DNS público. Supongo que los chicos de OpenDNS siempre responderán al malware con una dirección IP que poseen, de modo que el malware envía el tráfico a esa IP donde pueden analizar y bloquear el contenido malicioso.

los firewalls como Palo Alto hacen lo mismo al verificar si una consulta de DNS contiene un dominio malicioso conocido. El dispositivo puede responder con una dirección IP que usted configura para que el malware le envíe tráfico. Le aconsejo que lea un poco sobre DNS Sinkhole, lista de dominios maliciosos, inteligencia de amenazas

    
respondido por el P3nT3ster 16.10.2015 - 06:46
fuente
0

Responde a tu pregunta: Sí, ayuda. Pero es una carrera contra el tiempo.

En caso de que sus computadoras estuvieran infectadas, el malware aún debe volver a llamar al servidor C & C del atacante para enviar la clave de cifrado para cifrar su disco duro y para que el atacante lo identifique para que los atacantes puedan saber quién pagó y qué clave de descifrado para liberar. Además, se muestra una dirección de bitcoin para el pago.

A menos que los ataques altamente motivados estén dirigidos solo contra usted, los atacantes simplemente lanzan una red a través de correos electrónicos de suplantación de identidad (phishing) y publicaciones maliciosas en las redes sociales y esperan que las víctimas se mueran en la trampa. Lo que me da miedo son las infecciones de paso en las que los sitios web maliciosos explotan vulnerabilidades en los complementos del navegador como Flash Player, Java, Adobe Reader o Silverlight. Cuando los usuarios visitan ese enlace infectado, sus computadoras pueden infectarse.

Esto me lleva a:

Los servicios de inteligencia de IP y URL se basan en un equipo dedicado de operadores de seguridad que analizan el comportamiento de la red de sus clientes por encima de su motor de análisis.

En los días de suerte, el equipo de SOC puede detectar y cerrar un sitio malicioso antes de que un usuario se convierta en "paciente cero" y sea el primero en ser víctima.

No pertenezco a un equipo de SOC, pero creo que las principales infracciones informadas en las noticias a menudo se detectan a través de la primera víctima desafortunada que informó sobre el ataque. Especialmente en Amenazas persistentes avanzadas donde quizás un atacante está esperando para cifrar sus archivos cuando se dio cuenta de que está trabajando en un negocio de un millón de dólares o cuando está realizando una auditoría de fin de año o una revisión de ventas.

    
respondido por el Davis 25.07.2016 - 08:52
fuente

Lea otras preguntas en las etiquetas