T1568.001: Быстрая смена IP-адресов для DNS-записи
Злоумышленники могут замаскировать связь с командным сервером с помощью массива быстро меняющихся IP-адресов, привязанных к одному домену. Этот метод использует полное доменное имя с несколькими назначенными ему IP-адресами, которые быстро меняются благодаря циклической IP-адресации и короткому времени жизни (TTL) записей ресурсов DNS.
Самый простой, "одноуровневый" (single-flux) метод включает проводимые циклически регистрацию и последующую отмену регистрации IP-адресов в списке записей DNS A для одного DNS-имени. Среднее время действия таких регистраций составляет пять минут, что приводит к постоянному изменению IP-адресов, в которые разрешается доменное имя.
Напротив, в "двухуровневом" (double-flux) методе адреса регистрируются и отменяются в списке записей серверов DNS-имен для соответствующей зоны DNS, что обеспечивает дополнительную защиту соединения. При двухуровневом методе дополнительные хосты могут выступать в роли прокси-серверов для хоста командного сервера, еще сильнее маскируя подлинный источник управляющих данных.
Способы обнаружения
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Как правило, обнаружить использование быстрой смены IP-адресов для DNS-записей сложно из-за балансировки нагрузки веб-трафика, которая позволяет быстро обрабатывать запросы клиентов. При одиночной смене меняются только IP-адреса, связанные со статическими доменными именами. В случае двойной смены меняются обе составляющие. Наилучшими возможностями для обнаружения, скорее всего, обладают специалисты по безопасности на уровне регистраторов доменов и поставщиков услуг. |
|---|
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений, с помощью которых можно быстро менять IP-адреса для DNS-записей, чтобы скрыть связь с командным сервером за массивом быстро меняющихся IP-адресов, привязанных к одному домену. |
|---|