本安全入门提供了有关常规DNS操作、IDS事件类型、调查要求、建议和参考的信息。
技术摘要
域名系统(DNS)是TCP/IP应用程序使用的分布式数据库,用于解析主机名及其相应的IP地址。解决程序通常如下:
应用程序向DNS客户端发送名称查询。
DNS客户端检查其本地缓存是否有匹配项。如果未找到匹配项,则会向DNS服务器发送查询。
DNS服务器寻找匹配项。如果未找到匹配项,则继续DNS查询过程,直到找到权威记录。
DNS客户端返回结果。
常见的DNS事件类型包括:
- 查询事件–当DNS查找中观察到的域与签名匹配时,将触发查询事件。这些签名会在发起的流量上触发,其中源IP正在使用目标端口53对目标IP执行查找,并且观察到的域与恶意软件活动或违反策略相关联。
- 响应事件–当观察到的域查找结果包含与签名匹配的NXDOMAIN或Sinkhole响应时,将触发响应事件。这些签名会在返回流量上触发,其中源IP返回对源端口为53的目标IP执行的查询的响应,并且观察到的域已与恶意软件活动相关联。
NXDOMAIN响应–NXDOMAIN响应指示查询的域名无法通过DNS服务器的查找过程进行解析。域查找中的主机名和NXDOMAIN响应的组合将触发这些签名。
Sinkhole响应–Sinkhole响应表示DNS查找中的域已被服务提供商观察到存在恶意活动,并随后将这些域的流量转移到非恶意Sinkhole,从而基本上阻止了恶意站点的流量。这会破坏僵尸网络和c2基础设施。
- 更新事件–当观察到的DNS流量包含来自不属于受监控基础设施(外部主机)的主机的资源记录更新时,将触发更新事件。
要求
- 日志记录:为了响应DNS安全事件,在托管设备上配置适当级别的日志记录至关重要。所需的最基本的日志记录是网络客户端使用的主名称服务器的DNS日志记录和向这些客户端租赁IP的服务器的DHCP日志记录。在Microsoft Windows环境中,活动目录域的主名称服务器将是域控制器。请咨询管理您的网络和系统基础设施的IT支持供应商,以验证您是否在域控制器上相应配置了DNS和DHCP客户端日志记录。
需要考虑的一些日志记录注意事项。
- 由于日志记录量和这些日志的保留而产生的潜在存储需求
- 对日志记录设备(例如CPU、内存和磁盘)的性能影响
要考虑的其他设备日志记录配置:服务器事件日志、身份验证日志、端点AV日志、Web代理日志和网络安全设备/防火墙日志(这是一个非详尽列表)。这为组织提供了收集遥测数据,理想情况下集中收集,同时独立于源系统,用于跟踪和定位恶意行为、历史查找和警报。
建议
- 建议调查DNS请求的来源是否存在潜在的恶意活动。这可以通过查看DNS日志来关联域查询和时间戳来识别DNS查询源自的内部主机来完成。
- 一旦识别出发起DNS查询的内部主机,您将需要调查该主机是否存在针对特定威胁识别出的任何危害迹象。这可能涉及检查AV和防火墙日志以确定对受影响主机的影响。
相关CIS子控制
- 1.3使用DHCP日志记录更新资产清单–在所有DHCP服务器或IP地址管理工具上使用动态主机配置协议(DHCP)日志记录来更新组织的硬件资产清单。传感器:日志管理系统/SIEM。
- 7.7使用DNS过滤服务–使用DNS过滤服务帮助阻止对已知恶意域的访问。传感器:DNS域过滤系统。
- 8.7启用DNS查询日志记录–启用域名系统(DNS)查询日志记录以检测已知恶意域的主机名查找。传感器:DNS域过滤系统。