来源:https://www.splunk.com/en_us/blog/security/detecting-dynamic-dns-domains-in-splunk.html
https://github.com/sooshie/bro-scripts/tree/master/dynamic_dns
https://github.com/sooshie/bro-scripts/tree/master/dynamic_dns
在过去的五年里,如果你举出一个安全漏洞或者恶意软件的例子,你会发现一个相当常见的特征:恶意软件(或者数据泄露的方法)使用一个“动态DNS”主机名连接到互联网。但什么是动态DNS (DDNS)?为什么恶意的行动者使用它?网络防御者如何在他们的网络中检测到它?
在基本层面上,动态DNS允许子域名拥有可以实时快速更改的IP地址。合法用户通过使用noip.com或duckdns.org等提供商来创建容易记住的子域名(例如“myhouse.no-ip[.]org”),并将该子域名指向一个IP地址,比如他们的家庭路由器。这意味着用户可以轻松地使用域名而不是难以记住的IP地址连接到他们的家庭网络。如果用户的家庭IP地址改变了,他们可以用新的信息更新他们的动态DNS提供商。
遗憾的是,该服务对合法用户如此有用的原因,正是恶意行为者滥用它的原因。参与者可以硬编码这些子域名(evil.duckdns[.]org)到他们的恶意软件。通过这种方式,如果恶意软件通信的服务器基础设施不可用,参与者可以迅速地将子域名的IP地址(evil.duckdns[.]org)更改为其他地址。更高级的恶意软件甚至会使用域生成算法(DGA)来创建随机的字符串作为子域(例如d0290d00xasdf.no-ip[.]org),它可以基于类似于一年中的某一天。如果恶意软件的作者拥有DGA的密钥(比如一年中的哪一天),他们就能确切地知道恶意软件将在哪一天指向哪个域。这种混淆使得网络防御者很难“阻止”恶意域名,因为它可能只在一天内有效。
恶意使用动态DNS提供商的情况非常普遍。OpenDNS安全实验室报告说,在一些DDNS提供商超过56%的子域名是[6]恶意。类似地,思科报告称,动态DNS链接的网站比其他[7]网站的恶意感染率高19%。问题不是“威胁存在吗?”而是,防御者如何发现或减轻这些域名?
一个想法是使用OpenDNS 2015年的一篇很棒的博客文章来创建一个查找表,这篇文章讨论了20个最具恶意的动态DNS提供商。另一个选择是下载所有已知的动态DNS提供商(www.malware-domains.com[8]提供)。这个列表比“前20名”要全面得多,但它可能会增加你的误报,因为它实际上是一个更大的列表。这个压缩文件需要做一些修改才能转换为一个查找表,但是您可以在github上找到一些脚本来帮助您[9]自动化这个过程。有了动态DNS提供商域列表后,创建一个查找表,并使用Splunk应用程序UTbox[10](由我的天才团队伙伴Cedric Le Roux开发)从DNS日志或代理请求对您的域运行它。
下面是一个查询示例,它违反了bro DNS日志。图1显示了它的输出。
index=bro *
| `ut_parse(query)`
| lookup ddns dyndns_domains AS ut_domain
| search isBad=True
| stats count by ut_domain
但是仅仅看到动态DNS提供商对网络防御者并没有多大用处。在图2中,一个查询显示了连接到每个动态DNS域的所有子域。
index=bro *
| `ut_parse(query)`
| lookup ddns dyndns_domains AS ut_domain
| search isBad=True
| stats count by ut_domain
| stats VALUES(ut_subdomain) by ut_domain
| rename "VALUES"(ut_subdomain) AS subdomain
一旦您有了这些信息,您就可以在企业安全中创建指示板、警报或相关搜索,每当用户机器联系到动态DNS提供商网络上的不寻常域时,这些信息就会触发。你甚至可以写一个搜索,寻找具有高熵的动态DNS域的子域…但我将把这个留给另一篇博客文章:-)
网友评论