Применяется к Advanced Threat Analytics версии 1.8Applies to: Advanced Threat Analytics version 1.8

Анализ разведывательных атак с использованием DNSInvestigating reconnaissance using DNS

Если решение ATA обнаруживает разведывательную атаку с использованием DNS в сети и оповещает о ней, используйте сведения в этой статье для анализа оповещения и устранения проблемы.If ATA detects Reconnaissance using DNS on your network and alerts you about it, use this article to help you investigate the alert and understand how to remediate the problem.

Что такое разведывательная атака с использованием DNSWhat is reconnaissance using DNS?

Оповещение Разведывательная атака с использованием DNS указывает на то, что с необычного узла выполняются подозрительные запросы к службе доменных имен (DNS) для проведения разведки в вашей внутренней сети.The Reconnaissance using DNS alert indicates that suspicious Domain Name System (DNS) queries are being made from an unusual host to perform reconnaissance on your internal network.

DNS — это служба, реализованная как иерархическая распределенная база данных и обеспечивающая разрешение имен узлов и доменных имен.The Domain Name System (DNS) is a service implemented as a hierarchical, distributed database that provides resolution of host names and domain names. Имена в базе данных DNS образуют иерархическую древовидную структуру, называемую пространством доменных имен.The names in a DNS database form a hierarchical tree structure called the domain namespace. Для злоумышленника ценность службы DNS заключается в том, что в ней содержится информация о сопоставлении объектов во внутренней сети, включая список всех серверов, а также зачастую всех клиентов, которые сопоставлены с IP-адресами.For an adversary, your DNS contains valuable information for mapping an internal network, including a list of all the servers and often all the clients mapped to their IP addresses. Кроме того, ценность этой информации в том, что она включает в себя список имен узлов в данной сетевой среде, которые часто бывают описательными.Furthermore, this information is of value because it lists host names which are often descriptive in a given network environment. Получив эти сведения, злоумышленник может выявить приоритетные сущности, на которые будет направлена атака.By retrieving this information, an adversary can better prioritize their efforts on the relevant entities during a campaign. Такие средства, как Nmap, Fierce, а также встроенные средства, например Nslookup, предоставляют возможности обнаружения узлов путем проверки DNS.Tools such as Nmap, Fierce, and built-in tools like Nslookup, provide capabilities for host discovery using DNS reconnaissance. Обнаружение разведывательной атаки с использованием запросов DNS с внутреннего узла должно быть основанием для тревоги, так как может указывать на компрометацию узла, компрометацию сети или угрозу со стороны сотрудников.Detection of reconnaissance using DNS queries from an internal host is a cause for concern and indicative of the possibility of an existing host compromise, a wider network compromise, or the possibility of an insider threat.

Типы запросов DNSDNS query types

Протокол DNS предполагает несколько типов запросов.There are several query types in the DNS protocol. ATA обнаруживает запросы AXFR (запросы на передачу) и создает оповещения при их обнаружении.ATA detects the AXFR (Transfer) requests and creates an alert when it is seen. Запросы такого типа должны поступать только с DNS-серверов.This type of query should only come from DNS servers.

Обнаружение атакиDiscovering the attack

Когда злоумышленник пытается провести разведывательную атаку с использованием DNS, ATA обнаруживает ее и присваивает ей средний уровень серьезности.When an attacker attempts to perform reconnaissance using DNS, ATA detects it and marks it with medium severity.

ATA обнаруживает разведывательную атаку с использованием DNS

ATA выводит имя исходного компьютера, а также дополнительные сведения о выполненном запросе DNS.ATA displays the name of the source machine as well as additional details about the actual DNS query that was performed. Например, с одного и того же узла могло быть выполнено несколько попыток.For example, there could be multiple attempts being made from the same host.

АнализInvestigating

При анализе разведывательной атаки с использованием DNS сначала необходимо установить причину запросов.To investigate reconnaissance using DNS, you first have to determine the cause of the queries. Запросы могут относиться к одной из указанных ниже категорий.These can be identified in one of the following categories:

  • Истинный положительный результат — в сети присутствует злоумышленник или вредоносная программа.True positives – There is an attacker or malicious malware on your network. Злоумышленником может быть внешний пользователь, который преодолел периметр сети, или сотрудник организации.This could be an attacker who has breached the network perimeter, or an insider threat.
  • Неопасный истинный положительный результат — это могут быть оповещения, инициируемые в результате тестирования на проникновение, тестирования на угрозы извне, использования сканеров безопасности или брандмауэров нового поколения, а также выполнения санкционированных операций администраторами.Benign true positives – These could be alerts triggered by pen testing, red-team activity, security scanners, next-generation firewall, or IT administrators performing sanctioned activities.
  • Ложные срабатывания — такие оповещения могут быть результатом неправильной настройки, например блокировки UDP-порта 53 между шлюзом ATA и DNS-сервером (или другой проблемы с сетью).False positives – You might get alerts that occur due to a misconfiguration, for example, if UDP port 53 is blocked between the ATA Gateway and your DNS server (or any other network problem).

На схеме ниже приведены шаги, которые следует выполнить при анализе.The following chart helps determine the investigation steps you should take:

Противодействие разведывательным атакам с использованием DNS с помощью ATA

  1. Сначала необходимо определить компьютер, с которого поступило оповещение, как показано ниже.The first step is to identify the machine the alert originates from, as depicted below:

    Просмотр подозрительного действия, напоминающего разведывательную атаку с использованием DNS, в ATA

  2. Определите назначение этого компьютера:Identify what this machine is. рабочая станция, сервер, рабочая станция администратора, станция для тестирования на проникновение и т. д.Is it a workstation, server, admin workstation, pen-testing station, etc.?
  3. Если компьютер является DNS-сервером и уполномочен запрашивать дополнительную копию зоны, то это ложное срабатывание.If the computer is a DNS server and has legitimate rights to request a secondary copy of the zone, then it is a false positive. При обнаружении ложного срабатывания используйте действие Исключить, чтобы больше не получать данное оповещение с этого компьютера.When you find a false positive, use the Exclude option so that you won't get this specific alert for this machine anymore.
  4. Убедитесь в том, что UDP-порт 53 открыт между шлюзом ATA и DNS-сервером.Make sure UDP port 53 is open between the ATA Gateway and your DNS server.
  5. Если компьютер используется для работы администратора или тестирования на проникновение, то это неопасный истинный положительный результат и компьютер также можно добавить в исключения.If the machine is used for admin work or pen testing, it is a benign true positive, and the involved machine can also be configured as an exception.
  6. Если компьютер не используется для тестирования на проникновение, проверьте, не выполняется ли на нем сканер безопасности или брандмауэр нового поколения, который может использовать запросы DNS типа AXFR.If it is not used for pen testing, check to see if the machine is running a security scanner or next-generation firewall, which can issue DNS requests of the AXFR type.
  7. Наконец, если ни одно из этих условий не соблюдается, возможно, компьютер скомпрометирован и его нужно полностью проверить.Finally, if none of these criteria are met, it is possible that the machine is compromised, and it must be fully investigated.
  8. Если определены конкретные компьютеры, являющиеся источником запросов, и запросы не относятся к неопасным, следует выполнить указанные ниже действия.If the queries are isolated to specific machines and are determined to not be benign, the following steps should be addressed:
    1. Проверьте доступные источники журналов.Review available log sources.
    2. Проведите анализ на основе узлов.Conduct host-based analysis.
    3. Если источником активности не является пользователь, на компьютере следует провести экспертизу, чтобы определить, не заражен ли он вредоносными программами.If the activity is not from a suspected user, forensic analysis should be performed on the machine to determine if it has been compromised with malware.

Действия после анализаPost investigation

Узел может быть заражен программами-троянами, использующими черный ход.Malware used to compromise the host can include trojans with backdoor capabilities. Если обнаружено успешное перемещение по сети с зараженного узла, действия по исправлению должны распространяться на все затронутые узлы. В том числе, следует сменить учетные данные на всех узлах, которые были затронуты при перемещении.In cases where successful lateral movement has been identified from the compromised host, remediation actions should extend to these hosts including changing any passwords and credentials used on the host and any host included in the lateral movement.

Если после выполнения мер по устранению скомпрометированный узел нельзя гарантированно считать очищенным или если не удалось установить первопричину компрометации, корпорация Майкрософт рекомендует создать резервную копию критически важных данных и создать компьютер узла заново.In cases where the victim host cannot be confirmed as clean following remediation steps, or a root cause of the compromise cannot be identified, Microsoft recommends backing up critical data and rebuilding the host machine. Кроме того, перед вводом новых или воссозданных узлов в сеть следует усилить их защиту, чтобы предотвратить повторное заражение.Additionally, new or rebuilt hosts should be hardened prior to being placed back on the network to prevent reinfection.

Если вам требуется определить, развернул ли злоумышленник средства, позволяющие ему задержаться в сети вашей организации, корпорация Майкрософт рекомендует обратиться к специалистам группы реагирования на инциденты, с которыми можно связаться через отдел по работе с клиентами Майкрософт.Microsoft recommends using a professional Incident Response & Recovery team, that can be reached via your Microsoft Account Team, to help detect whether an attacker has deployed methods of persistence in your network.

Меры по снижению уязвимостиMitigation

Чтобы защитить внутренний DNS-сервер от разведывательных атак с использованием DNS, можно отключить передачу зоны или ограничить ее только определенными IP-адресами.Securing an internal DNS server to prevent reconnaissance using DNS from occurring can be accomplished by disabling or restricting zone transfers only to specified IP addresses. Дополнительные сведения об ограничении передачи зоны см. в статье по Windows Server Ограничение передачи зоны на сайте Technet.For additional information on restricting zone transfers, see the Windows Server Technet article; Restrict Zone Transfers. Чтобы сделать ограничение на передачу зоны еще более строгим, можно защитить передачу зоны с помощью IPsec.Restricted zone transfers can further be locked down by securing zone transfers with IPsec. Настройка передачи зоны — одна из задач контрольного списка при защите DNS-серверов от внутренних и внешних атак.Modifying Zone Transfers is one task among a checklist that should be addressed for securing your DNS servers from both internal and external attacks.

См. такжеSee Also