T1071.004: DNS

Злоумышленники могут осуществлять взаимодействие с помощью DNS — протокола прикладного уровня — с целью маскировки вредоносного трафика под обычный и предотвращения обнаружения или сетевой фильтрации. Команды, направленные к удаленной системе, а также часто и результаты выполнения этих команд встраиваются в трафик между клиентом и сервером.

Протокол DNS используется для выполнения административных задач в компьютерных сетях повсеместно. Передача DNS-трафика может быть разрешена еще до завершения сетевой аутентификации. Пакеты DNS содержат множество полей и заголовков, в которых могут быть скрыты данные. Злоумышленники могут использовать DNS для взаимодействия с подконтрольными системами в целевой сети, имитируя типичный для этой сети трафик. Эта техника называется DNS-туннелированием.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

pt_nad: PT-CR-733: NAD_DNS_Zone_Transfer: PT NAD обнаружил AXFR-запрос от недоверенного DNS-сервера network_devices_abnormal_activity: PT-CR-477: Untrusted_DNS_Server_Usage: Обнаружено подключение к DNS-серверу из внешней сети mitre_attck_cred_access: PT-CR-1076: DNS_Spoofing: Обнаружена подмена DNS доменных узлов. Адрес узла, с которого велась атака, занесен в табличный список. dnsmasq: PT-CR-2227: Dnsmasq_Base64_Encoded_DNS_Request_Detection: Подозрительные DNS-запросы с использованием кодировки Base64 dnsmasq: PT-CR-2200: Dnsmasq_TXT_Query_High_Frequency: Чрезвычайно высокая частота DNS-запросов c типом записи TXT от узла за короткий период времени может свидетельствовать об использовании инструмента Do-exfiltration dnsmasq: PT-CR-2203: Dnsmasq_DNS_Query_High_Frequency: Большое количество DNS-запросов к одному и тому же домену, что может свидетельствовать об использовании DNS для передачи данных active_directory_attacks: PT-CR-74: DNS_Zone_Transfer_To_Untrusted_Host: AXFR-запрос от недоверенного DNS-сервера. С помощью этого запроса злоумышленники могут раскрыть внутреннюю структуру сети и получить доступ к конфиденциальной информации bind: PT-CR-2195: BIND_Many_DNS_Requests_From_Single_Host: Множество DNS-запросов с одного узла, что может быть признаком запуска вредоносного ПО, которое использует DNS для передачи команд и управления bind: PT-CR-2196: BIND_Many_DNS_TXT_Records_Requests: Множество DNS-запросов с типом записи "TXT", что может быть признаком использования вредоносного инструмента Do-Exfiltration bind: PT-CR-2191: BIND_Base64_Encoded_DNS_Request_Detection: Запрос параметров DNS для ресурса содержит кодировку Base64. Злоумышленники используют кодировку в запросах, чтобы замаскировать свою активность bind: PT-CR-2194: BIND_DNS_Zone_Transfer_From_Untrusted_Host: Передача зоны DNS от недоверенного узла capabilities_suspicious_activity: PT-CR-2760: CAP_DNS_Request_to_Malicious_Domain: Попытка выполнить DNS-запрос к вредоносному ресурсу, используемому злоумышленниками для проведения атак capabilities_suspicious_activity: PT-CR-2807: CAP_DNS_Request_to_Suspicious_Domain: Попытка выполнить DNS-запрос к подозрительному ресурсу, который может использоваться злоумышленниками для проведения атак

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, используя проверку SSL/TLS для DNS over TLS (DoT) и DNS over HTTPS (DoH), чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте потоки DNS-трафика, идущие к известным вредоносным или подозрительным доменам или от них, и анализируйте трафик, который не соответствует ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, или необычные шаблоны трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Меры противодействия

IDM1037НазваниеФильтрация сетевого трафикаОписание

По возможности фильтруйте DNS-запросы к неизвестным, недоверенным или заведомо вредоносным доменам и ресурсам. Разрешение DNS-запросов с помощью локальных/прокси-серверов также может пресечь попытки злоумышленников скрыть данные в DNS-пакетах.

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.