آکادمی روزبه

سلام دوستان

همانطور که می دانید پروتکل DNS نام دامنه هارا به آدرس اینترنتی (IP) تبدیل می نماید. خیلی از نرم افزارها و تجهیزات شبکه از پروتکل برای برقرار ارتباط شان استفاده می نمایند. بدافزارها و تروجان ها برای مخفی ماندن و دورزدن تجهیزات امنیتی نیز می توانند از پروتکل DNS بهره برداری کنند.

هدف مون از ارایه این use case: شناسایی DNS tunneling و دامین های domain generation algorithm (DGA) و مشکوک ترین TLD ها منابع لاگ و پیشنیازها:‌ sysmon event id 22

مدت زمان پایش: ۳۰ روز (یکماه)

۱) کلاینت هایی که حجم بالایی از رکورد های ( TXT, NULL, CNAME ) را تولید کرده اند. 

۲) ببیشتر ارتباطات C&C ها با بدافزارشان از طریق درخواست های ( TXT and CNAME ) انجام می پذیرد.

۳) شناسایی TLD های ( .xyz, .me, .biz ) 

۴) جمع آوری و فیلترنمودن کویری هایی که پاسخ NXDOMAIN دریافت کرده اند.

۵) شناسایی کلاینت هایی که sub domain های یک دامنه را به طور مکرر درخواست نمایند. 

۶) شناسایی دامنه های با طول بیشتر از ۲۵ کاراکتر. 

۷) محاسبه entropy. 

۸) شناسایی دامنه هایی که به تازگی ثبت شده اند. 

۹) پورت ۵۳  TCPرا فقط در ترافیک ورودی اجازه دهید و ترافیک zone transfer فقط بین دو سرور primary و  secondary سازمان برقرار باشد.