Il blocco basato sul DNS protegge contro il ransomware?

4

Ho cercato OpenDNS come qualcosa da usare nella mia azienda, e affermano che il ransomware in stile Cryptolocker utilizza quasi sempre il DNS per" telefonare a casa "e OpenDNS lo blocca, impedendo al ransomware di fare qualcosa di malevolo. Questo mi sembra un po 'dubbioso, poiché penserei che i creatori di malware possano utilizzare IP hardcode o IP server DNS hardcode (come una versione ombreggiata di 8.8.8.8) invece di utilizzare il server DNS predefinito del sistema operativo. Ottengo che gli IP hardcoded per il controllore botnet (o dove il malware sta telefonando a casa) sarebbero problematici se quell'IP venisse spento o bloccato, ma immagino che potrebbero usare un DNS diverso che continuerebbe a risolvere il loro hostname anche se lo stavano usando in modo nefasto.

Mi manca qualcosa? E 'davvero così che il ransomware agisce in natura, o questa affermazione è solo di marketing? C'è qualche ragione tecnica per cui il ransomware userebbe il server DNS del sistema operativo e non potrebbe usare il proprio?

    
posta thunderblaster 15.10.2015 - 17:40
fonte

3 risposte

2

Sì, questo lo bloccherà. Usare un indirizzo IP hardcoded per qualsiasi cosa come un cracker è un'idea orribile dato che ti lega a un singolo punto. Se sei un cracker vuoi rimanere mobile, in movimento e in modo tale da non poterti trovare. Essere legati a un singolo indirizzo IP statico ti rende VERAMENTE facile da trovare. Altrimenti dovresti prima inviare una nuova versione del malware con il DNS per domani, e allora quel modello potrebbe FACILMENTE farti trovare una volta che qualcuno si connette solo manualmente, ottenere il nuovo malware, estrae il DNS, trova l'IP registrato per domani , va e si trova in attesa, e poi sei catturato.

Questo problema viene risolto alla fine usando un DNS per mantenere indirizzi IP fluttuanti legati ai loro domini. Questo DNS deve essere contattato su "telefono casa" su un server che invierà un comando alla botnet. OpenDNS registra queste botnet dannose e le blocca a livello DNS, quindi il sistema operativo e il computer infetto non hanno idea che non possa nemmeno raggiungere la botnet. Pensa solo che il cracker non sta facendo nulla adesso, e quindi non si unisce alla botnet. Per fare questo OpenDNS impedisce solo l'accesso a quei server.

    
risposta data 15.10.2015 - 19:37
fonte
0

alcuni nuovi firewall di nuova generazione intercettano le query DNS anche se vengono inviati a 8.8.8.8 oa qualsiasi altro servizio DNS pubblico. Immagino che i ragazzi di OpenDNS risponderanno sempre al malware con un indirizzo IP di loro proprietà, in modo che il malware invii il traffico a quell'indirizzo IP in cui possono analizzare e bloccare il contenuto dannoso.

I firewall come Palo Alto fanno lo stesso controllando se una query DNS contiene un dominio dannoso noto. Il dispositivo può rispondere con un indirizzo IP impostato in modo che il malware inoltra il traffico verso di esso. Ti consiglio di leggere un po 'di DNS Sinkhole, Elenco dei domini dannosi, intelligence delle minacce

    
risposta data 16.10.2015 - 06:46
fonte
0

Rispondi alla tua domanda: Sì, aiuta. Ma è una corsa contro il tempo.

Nel caso in cui i tuoi computer fossero infetti, il malware deve comunque ricominciare con il server C & C per attaccare la chiave di crittografia per crittografare il tuo hard-disk e identificare l'autore dell'attacco in modo che sappia chi ha pagato e quale chiave di decodifica rilasciare. Inoltre, ti viene mostrato un indirizzo bitcoin per il pagamento.

A meno che gli attacchi altamente motivati non siano mirati solo contro di te, gli aggressori stanno semplicemente gettando una rete via e-mail di phishing e mal-vertisie sui social media e aspettando che le vittime abboccino. Quello che trovo spaventoso sono le infezioni drive-by in cui siti Web dannosi sfruttano vulnerabilità nei plugin del browser come Flash Player, Java, Adobe Reader o Silverlight. Quando gli utenti visitano quel link infetto, i loro computer possono essere infettati.

Questo mi porta a:

I servizi IP e URL Intelligence fanno affidamento su un team dedicato di operatori della sicurezza che analizzano il comportamento della rete dei loro clienti in aggiunta al loro motore di analisi.

Nei giorni fortunati, il team di SOC può rilevare e chiudere un sito malevolo prima che un utente diventi "paziente zero" e sia il primo a essere vittimizzato.

Non vengo da un team di SOC, ma suppongo che le principali violazioni riportate nelle notizie vengano spesso rilevate dalla prima sfortunata vittima che ha segnalato l'attacco. Soprattutto sulle minacce persistenti avanzate in cui forse un utente malintenzionato è in attesa di crittografare i file quando si rende conto che si sta lavorando a un contratto da un milione di dollari o quando si sta effettuando un audit di fine anno / una revisione delle vendite.

    
risposta data 25.07.2016 - 08:52
fonte

Leggi altre domande sui tag