Monitorando o tráfego DNS em busca de ameaças à segurança

Os cibercriminosos estão constantemente desenvolvendo programas de malware cada vez mais sofisticados e perigosos. As estatísticas do primeiro trimestre de 2016 em comparação com 2015 mostram que os ataques de malware quadruplicaram.

Por que o tráfego DNS é importante

O DNS tem um papel importante na forma como os usuários finais da sua empresa se conectam à Internet. Cada conexão feita a um domínio pelos dispositivos clientes é registrada nos logs DNS. A inspeção do tráfego DNS entre os dispositivos clientes e o seu resolvedor recursivo local pode revelar uma riqueza de informações para análise forense.

As consultas DNS podem revelar:

• Botnets/Malware conectando-se a servidores C&C
• Quais sites visitados por um funcionário
• Quais domínios maliciosos e DGA foram acessados
• Quais domínios dinâmicos (DynDNS) acessados
• Detecção de ataques DDOS como NXDomain, domínio fantasma. subdomínio aleatório

Identificando as ameaças usando o EventTracker

Ao analisar cada log DNS, verificamos cada domínio acessado em relação a:

• Banco de dados de domínios maliciosos (atualizado regularmente)
• Algoritmo de Geração de Domínio (DGA)

Qualquer domínio que atenda a algum dos critérios acima mencionados merece atenção e um alerta é gerado junto com o cliente que o acessou e as informações geológicas do domínio (IP, País).

Utilizando análise de comportamento, o EventTracker rastreia o volume de conexões para cada domínio acessado na empresa. Se o volume de tráfego para um domínio específico for superior à média, serão acionadas condições de alerta. Quando um domínio é acessado pela primeira vez, verificamos o seguinte:

• Este é um domínio dinâmico?
• O domínio foi registrado recentemente ou expirará em breve?
• O domínio tem um TLD malicioso conhecido?

Tendências recentes mostram que os criminosos cibernéticos podem criar domínios dinâmicos como centros de comando e controle. Esses domínios são ativados por um período muito curto e depois descartados, o que torna as verificações acima ainda mais importantes.

EventTracker faz monitoramento estatístico/limite de consulta, cliente, tipo de registro e erro. Isso ajuda na detecção de muitos ataques DDOS, como ataque NXDOMAIN, ataque de domínio fantasma, ataque aleatório de subdomínio, etc. O monitoramento do EventTracker das configurações de DNS do cliente ajudará a detectar sequestro de DNS e gerar um alerta para qualquer coisa suspeita, incluindo informações sobre o cliente também como sua configuração de DNS. O painel flexível do EventTracker ajuda a correlacionar dados de detecção de ataques e detalhes do cliente, tornando a detecção de ataques mais simples.

O monitoramento dos logs DNS é uma maneira poderosa de identificar ataques à segurança à medida que ocorrem na empresa, permitindo o bloqueio bem-sucedido de ataques e a correção de vulnerabilidades.