Si applica a: Advanced Threat Analytics versione 1.8Applies to: Advanced Threat Analytics version 1.8

Analisi dell'esplorazione con DNSInvestigating reconnaissance using DNS

Se ATA rileva l'esplorazione con DNS sulla rete e avvisa l'utente di conseguenza, usare questo articolo per esaminare l'avviso e comprendere come risolvere il problema.If ATA detects Reconnaissance using DNS on your network and alerts you about it, use this article to help you investigate the alert and understand how to remediate the problem.

Che cos'è l'esplorazione con DNS?What is reconnaissance using DNS?

L'avviso di esplorazione con DNS indica che vengono eseguite query DNS (Domain Name System) sospette da un host insolito per effettuare un'esplorazione della rete interna.The Reconnaissance using DNS alert indicates that suspicious Domain Name System (DNS) queries are being made from an unusual host to perform reconnaissance on your internal network.

DNS (Domain Name System) è un servizio implementato come un database gerarchico distribuito che offre la risoluzione di nomi host e nomi di dominio.The Domain Name System (DNS) is a service implemented as a hierarchical, distributed database that provides resolution of host names and domain names. I nomi in un database DNS formano una struttura ad albero gerarchica detta spazio dei nomi di dominio.The names in a DNS database form a hierarchical tree structure called the domain namespace. Per un utente malintenzionato, DNS contiene informazioni preziose per eseguire il mapping di una rete interna, tra cui un elenco di tutti i server e spesso tutti i client mappati ai relativi indirizzi IP.For an adversary, your DNS contains valuable information for mapping an internal network, including a list of all the servers and often all the clients mapped to their IP addresses. Inoltre, queste informazioni sono preziose perché indicano i nomi host che sono spesso descrittivi in un determinato ambiente di rete.Furthermore, this information is of value because it lists host names which are often descriptive in a given network environment. Recuperando queste informazioni, l'utente malintenzionato può assegnare meglio le priorità alle entità rilevanti durante una campagna.By retrieving this information, an adversary can better prioritize their efforts on the relevant entities during a campaign. Soluzioni come Nmap, Fierce e gli strumenti predefiniti come Nslookup offrono funzionalità per l'individuazione dell'host con l'esplorazione DNS.Tools such as Nmap, Fierce, and built-in tools like Nslookup, provide capabilities for host discovery using DNS reconnaissance. Il rilevamento dell'esplorazione con le query DNS da un host interno è motivo di preoccupazione e indicativo della possibilità che esista una compromissione dell'host, una compromissione più ampia della rete o una minaccia interna.Detection of reconnaissance using DNS queries from an internal host is a cause for concern and indicative of the possibility of an existing host compromise, a wider network compromise, or the possibility of an insider threat.

Tipi di query DNSDNS query types

Esistono diversi tipi di query nel protocollo DNS.There are several query types in the DNS protocol. ATA rileva le richieste AXFR (trasferimento) e genera un avviso quando appaiono.ATA detects the AXFR (Transfer) requests and creates an alert when it is seen. Questo tipo di query deve provenire solo dai server DNS.This type of query should only come from DNS servers.

Individuazione dell'attaccoDiscovering the attack

Quando un utente malintenzionato tenta di eseguire l'esplorazione con DNS, ATA rileva l'attività e la contrassegna con livello di gravità medio.When an attacker attempts to perform reconnaissance using DNS, ATA detects it and marks it with medium severity.

ATA rileva l'esplorazione DNS

ATA visualizza il nome del computer di origine, nonché dettagli aggiuntivi sulla query DNS effettiva che è stata eseguita.ATA displays the name of the source machine as well as additional details about the actual DNS query that was performed. Ad esempio, potrebbero essere fatti più tentativi dallo stesso host.For example, there could be multiple attempts being made from the same host.

AnalisiInvestigating

Per analizzare l'esplorazione con DNS, per prima cosa è necessario determinare la causa delle query,To investigate reconnaissance using DNS, you first have to determine the cause of the queries. che può essere identificata in una delle categorie seguenti:These can be identified in one of the following categories:

  • Veri positivi: è presente un utente malintenzionato o malware dannoso sulla rete.True positives – There is an attacker or malicious malware on your network. Può trattarsi di un utente malintenzionato che ha violato il perimetro della rete o di una minaccia interna.This could be an attacker who has breached the network perimeter, or an insider threat.
  • Veri positivi benigni: può trattarsi di avvisi generati da pen test, attività del red team, scanner di sicurezza, firewall di prossima generazione o amministratori IT che svolgono attività approvate.Benign true positives – These could be alerts triggered by pen testing, red-team activity, security scanners, next-generation firewall, or IT administrators performing sanctioned activities.
  • Falsi positivi: si possono ricevere avvisi a causa di un errore di configurazione, ad esempio se la porta UDP 53 è bloccata tra il gateway ATA e il server DNS (o qualsiasi altro problema di rete).False positives – You might get alerts that occur due to a misconfiguration, for example, if UDP port 53 is blocked between the ATA Gateway and your DNS server (or any other network problem).

Il diagramma seguente facilita la determinazione dei passaggi da eseguire per l'analisi:The following chart helps determine the investigation steps you should take:

Risoluzione dell'esplorazione DNS con ATA

  1. Il primo passaggio consiste nell'identificare il computer da cui ha origine l'avviso, come illustrato di seguito:The first step is to identify the machine the alert originates from, as depicted below:

    Visualizzare l'attività sospetta di esplorazione DNS in ATA

  2. Identificare il tipo di computer.Identify what this machine is. Si tratta di una workstation, un server, una workstation amministrativa, una stazione di pen test e così via?Is it a workstation, server, admin workstation, pen-testing station, etc.?
  3. Se il computer è un server DNS con diritti legittimi per richiedere una copia secondaria della zona, è un falso positivo.If the computer is a DNS server and has legitimate rights to request a secondary copy of the zone, then it is a false positive. Quando si individua un falso positivo, usare l'opzione di esclusione in modo da non ricevere più questo avviso specifico per questo computer.When you find a false positive, use the Exclude option so that you won't get this specific alert for this machine anymore.
  4. Verificare che la porta UDP 53 sia aperta tra il gateway ATA e il server DNS.Make sure UDP port 53 is open between the ATA Gateway and your DNS server.
  5. Se il computer viene usato per un lavoro amministrativo o il pen test, è un vero positivo benigno e il computer coinvolto può anche essere configurato come un'eccezione.If the machine is used for admin work or pen testing, it is a benign true positive, and the involved machine can also be configured as an exception.
  6. Se non viene usato per il pen test, verificare se il computer sta eseguendo uno scanner di sicurezza o un firewall di prossima generazione, che può generare richieste DNS del tipo AXFR.If it is not used for pen testing, check to see if the machine is running a security scanner or next-generation firewall, which can issue DNS requests of the AXFR type.
  7. Infine, se nessuno di questi criteri viene soddisfatto, è possibile che il computer sia compromesso e sia necessaria un'analisi completa.Finally, if none of these criteria are met, it is possible that the machine is compromised, and it must be fully investigated.
  8. Se le query riguardano solo computer specifici e sono ritenute non benigne, è necessario completare i passaggi seguenti:If the queries are isolated to specific machines and are determined to not be benign, the following steps should be addressed:
    1. Esaminare le origini registro disponibili.Review available log sources.
    2. Eseguire un'analisi basata su host.Conduct host-based analysis.
    3. Se l'attività non proviene da un utente sospetto, eseguire un'analisi forense nel computer per determinare se è stato compromesso da malware.If the activity is not from a suspected user, forensic analysis should be performed on the machine to determine if it has been compromised with malware.

Dopo l'analisiPost investigation

Il malware usato per compromettere l'host può includere trojan con funzionalità backdoor.Malware used to compromise the host can include trojans with backdoor capabilities. Nei casi in cui viene identificato un movimento laterale riuscito dall'host compromesso, le azioni correttive devono essere estese a questi host, ad esempio cambiando le password e le credenziali usate nell'host e in tutti gli host coinvolti nel movimento laterale.In cases where successful lateral movement has been identified from the compromised host, remediation actions should extend to these hosts including changing any passwords and credentials used on the host and any host included in the lateral movement.

Nei casi in cui l'host vittima non possa essere dichiarato pulito dopo le azioni correttive o non sia possibile identificare la causa principale della compromissione, Microsoft consiglia di eseguire un backup dei dati critici e di ricompilare il computer host.In cases where the victim host cannot be confirmed as clean following remediation steps, or a root cause of the compromise cannot be identified, Microsoft recommends backing up critical data and rebuilding the host machine. Inoltre, gli host nuovi o ricompilati devono essere protetti prima di essere reinseriti nella rete per evitare di ripetere l'infezione.Additionally, new or rebuilt hosts should be hardened prior to being placed back on the network to prevent reinfection.

È consigliabile avvalersi della collaborazione di un team di professionisti nel campo della risposta e del ripristino dopo eventi imprevisti, contattabile tramite il Team degli account Microsoft, per rilevare se un utente malintenzionato abbia distribuito metodi di persistenza nella reteMicrosoft recommends using a professional Incident Response & Recovery team, that can be reached via your Microsoft Account Team, to help detect whether an attacker has deployed methods of persistence in your network.

Strategia di riduzione del rischioMitigation

Per proteggere un server DNS interno in modo da evitare che venga effettuata l'esplorazione con DNS, disabilitare o limitare i trasferimenti di zona solo agli indirizzi IP specificati.Securing an internal DNS server to prevent reconnaissance using DNS from occurring can be accomplished by disabling or restricting zone transfers only to specified IP addresses. Per altre informazioni su questo argomento, vedere l'articolo della libreria Technet di Windows Server relativo alla limitazione dei trasferimenti di zona.For additional information on restricting zone transfers, see the Windows Server Technet article; Restrict Zone Transfers. I trasferimenti di zona limitati possono essere ulteriormente bloccati proteggendo i trasferimenti con IPsec.Restricted zone transfers can further be locked down by securing zone transfers with IPsec. La modifica dei trasferimenti di zona è una delle attività di un elenco di controllo che devono essere svolte per proteggere i server DNS dagli attacchi interni ed esterni.Modifying Zone Transfers is one task among a checklist that should be addressed for securing your DNS servers from both internal and external attacks.

Vedere ancheSee Also