E 'questa la fine dell'uso di malware del DNS?

4

Ho letto del rilascio di un set di dati gratuito di query DNS relative al malware chiamato "Predict" . Un ricercatore o un team di sicurezza della rete può scaricare o interrogare questo set di dati e utilizzarlo per identificare le comunicazioni malware tramite DNS. I fornitori commerciali forniscono già tali servizi.

Sono a conoscenza di due modi in cui il malware potrebbe utilizzare il DNS.

  1. Cerca l'indirizzo di un sito Web con il quale deve comunicare per scopi di comando e controllo.
  2. Usa DNS stesso per il tunnel .

Sembra che il set di dati nell'articolo di notizie possa proteggere da entrambi.

In quel primo utilizzo, il programma malware genera una serie di nomi di dominio e interroga ciascuno di essi finché non viene risolto un indirizzo IP. Il bot contatta quindi l'indirizzo IP del server di comando e controllo. Questo era un modo pratico per 1) Non rivelare indirizzi IP specifici nel malware stesso. 2) recuperare se un particolare server di comando e controllo è stato rimosso (o bloccato dagli amministratori di rete).

Il DNS nel secondo utilizzo è più difficile da arrestare perché comunica tramite DNS stesso anziché TCP / IP. L'utilizzo di un server DNS per cercare di filtrare il traffico come questo potrebbe non essere pratico.

Quindi, la cooperazione come il set di dati "Predict" rende l'uso di malware del DNS più rischioso perché, su base giornaliera, raccoglierà decine di migliaia di query DNS e informerà il mondo. Ovviamente non li troverà tutti, ma probabilmente abbastanza per usare il DNS più rischioso.

Quindi, sapendo questo, perché usare il DNS? Non sarebbe più facile e più sicuro dal punto di vista del malware per poter semplicemente contattare uno o più indirizzi IP diretti invece di usare il DNS? Perché non saltare semplicemente la registrazione dei domini e basta usare gli indirizzi IP che lampeggiano dentro e fuori dall'esistenza e servono allo stesso scopo? Forse il problema di rallentare il DNS prevenendo il traffico DNS impedisce comunque il pieno utilizzo di un set di dati come "Predict"?

    
posta mcgyver5 27.07.2015 - 16:51
fonte

1 risposta

7

Nota: PREDICT è passato a IMPACT

Is this the end of malware use of DNS?

No . Potrebbe modificare leggermente il paesaggio, ma non enormemente.

It seems like the dataset in the news article could protect against both.

È utile per catturare le persone che usano malware che altre persone hanno catturato prima. Non è utile per catturare qualcuno che imposta un dominio di masterizzazione solo per il loro attacco contro di te, o qualcuno che non è stato ancora catturato da qualcun altro.

DNS in the second use is harder to stop because it communicates via DNS itself instead of TCP/IP. Using a DNS server to try and filter traffic like this might be impractical.

Esistono "firewall DNS" che eseguono questo tipo di blacklisting; perfettamente pratico. Tuttavia, di nuovo, severamente limitato dalle regole del gioco "lista nera".

So, cooperation like the "Predict" dataset makes malware use of DNS more risky because it will, on a daily basis, collect tens of thousands DNS queries and inform the world. It won't find them all, of course, but probably enough to make use of DNS more risky.

So, knowing this, why use DNS at all?

Qualcosa come il set di dati PREDICT GT Malware Passive DNS (qui di seguito PREDICT-GTMPDNS) incrementalmente aumenta il rischio, ma certamente non lo direi significativamente aumenta il rischio. Gli operatori malintenzionati sono a proprio agio in un mondo in cui i loro siti Web basati su DNS possono essere interdetti filtrando i proxy, dove i loro server di posta possono bloccare usando RBL e dove la regola del firewall tenta di limitare il traffico in uscita.

Uno dei motivi per cui utilizzano DNS è che è difficile bloccare a egress - a causa della natura indiretta del DNS, non è possibile bloccarne facilmente alcune senza bloccarlo completamente. Puoi persino fare in modo che il DNS indichi qualcosa di benigno, quindi spostarlo in qualche luogo malevolo brevemente mentre lo usi, quindi puntarlo indietro ... difficile da fare con un IP, facile con DNS.

Wouldn't it be easier and safer from the malware's point of view for it to simply contact one or more direct IP addresses instead of using DNS?

Storicamente, l'inflessibilità dell'indirizzamento IP diretto ha diminuito la sua attrattiva. PREDICT-GTMPDNS potrebbe aiutare a ridurre l'attrattiva del DNS, ma non abbastanza da escluderlo.

Why not just skip registering domains and just use IP addresses that blink in and out of existence and serve the same purpose?

È più difficile avere gli indirizzi IP "lampeggiare dentro e fuori dall'esistenza" piuttosto che i domini. E una volta che invii il malware con un indirizzo hard-coded, è bloccato su quell'indirizzo, e non puoi semplicemente cancellarlo dall'esistenza senza chiuderti.

Perhaps the problem of slowing down DNS by inpspecting DNS traffic still prevent full use of a dataset like "Predict"?

Il costo dell'ispezione DNS è abbastanza basso per non essere un problema ... il vero problema, come con qualsiasi blacklist , è la dimensione del campione e il tempo di completamento. Se gli input del tuo database coprono il 50% del malware là fuori, questo è incredibilmente fantastico ... e lascia ancora uno su due exploit libero al maraud. Diciamo che il malware viene trovato, inoltrato, eseguito e indicizzato un giorno dopo il rilascio ... sono 24 ore in cui il malware può essere liberato e cancellato prima che il database raggiunga il livello.

In realtà, penso che gli input di PREDICT-GTMPDNS saranno sia meno completi sia più lenti da raggiungere con le nuove versioni di malware. Giocare al catch-up fa schifo.

Questo non vuol dire che PREDICT-GTMPDNS non sia un'idea fantastica. È. Ma non è un tipo di proiettile d'argento.

    
risposta data 27.07.2015 - 17:54
fonte

Leggi altre domande sui tag