来源:https://github.com/marcurdy/dfir-toolset
https://github.com/search?p=1&q=DFIR&type=Repositories
异常DNS域名检测特征
(1)使用大量子域名或很长TXT字段的特征查找DNS隧道
(2)查找具有长查询域名的查询,例如:查找2 stddev或长度> 200。
(3)搜索动态dns域名的目标IP
(4)大量的NXDOMAIN错误和高的子域名熵意味着DGA的使用
(5)搜索被访问的域名的仿冒域名。使用levenstein算法
(6)新域名在确定恶意程度上举足轻重
(7)bro bro_weirdlog-name = dns_unmatched_reply dest_port = 53
(8)查找连接到多个DNS服务器的客户端
(9)解析到127.0.0.1的外部地址可能是parked域名
网友评论