Ho letto del rilascio di un set di dati gratuito di query DNS relative al malware chiamato "Predict" . Un ricercatore o un team di sicurezza della rete può scaricare o interrogare questo set di dati e utilizzarlo per identificare le comunicazioni malware tramite DNS. I fornitori commerciali forniscono già tali servizi.
Sono a conoscenza di due modi in cui il malware potrebbe utilizzare il DNS.
- Cerca l'indirizzo di un sito Web con il quale deve comunicare per scopi di comando e controllo.
- Usa DNS stesso per il tunnel .
Sembra che il set di dati nell'articolo di notizie possa proteggere da entrambi.
In quel primo utilizzo, il programma malware genera una serie di nomi di dominio e interroga ciascuno di essi finché non viene risolto un indirizzo IP. Il bot contatta quindi l'indirizzo IP del server di comando e controllo. Questo era un modo pratico per 1) Non rivelare indirizzi IP specifici nel malware stesso. 2) recuperare se un particolare server di comando e controllo è stato rimosso (o bloccato dagli amministratori di rete).
Il DNS nel secondo utilizzo è più difficile da arrestare perché comunica tramite DNS stesso anziché TCP / IP. L'utilizzo di un server DNS per cercare di filtrare il traffico come questo potrebbe non essere pratico.
Quindi, la cooperazione come il set di dati "Predict" rende l'uso di malware del DNS più rischioso perché, su base giornaliera, raccoglierà decine di migliaia di query DNS e informerà il mondo. Ovviamente non li troverà tutti, ma probabilmente abbastanza per usare il DNS più rischioso.
Quindi, sapendo questo, perché usare il DNS? Non sarebbe più facile e più sicuro dal punto di vista del malware per poter semplicemente contattare uno o più indirizzi IP diretti invece di usare il DNS? Perché non saltare semplicemente la registrazione dei domini e basta usare gli indirizzi IP che lampeggiano dentro e fuori dall'esistenza e servono allo stesso scopo? Forse il problema di rallentare il DNS prevenendo il traffico DNS impedisce comunque il pieno utilizzo di un set di dati come "Predict"?