BIND DNS: правила корреляции

RV-D-1309

Подозрительные DNS-запросы к домену trycloudflare.com

Cloudflare Tunnel — это решение, изначально предназначенное для безопасной публикации внутренних ресурсов через инфраструктуру Cloudflare. Однако из-за своей гибкости и простоты запуска он стал популярным и среди атакующих. Особый интерес вызывает возможность создания туннеля без регистрации с использованием временного домена trycloudflare.com. Данное правило выявляет подозрительные DNS-запросы к этому домену. Такие действия могут быть связаны с атакующими, стремящимися установить скрытый доступ к сети или маскировать свою активность через прокси-серверы.

RV-D-1385

DNS-запрос к домену localtonet

Данное правило выявляет подозрительные DNS-запросы к домену localtonet, которые могут указывать на использование утилиты для туннелирования трафика или другие попытки обхода защитных механизмов. Такие действия могут быть связаны с атакующими, стремящимися установить скрытый доступ к сети или маскировать свою активность через прокси-серверы.

RV-D-1386

Передача зоны DNS на недоверенный узел (AXFR)

AXFR Zone Transfer — это метод передачи всей зоны DNS (репликация зоны) между серверами, который может быть использован атакующими для получения полного содержимого зоны на этапе разведки и сбора информации. Данное правило отслеживает запросы типа AXFR к зонам и определяет их отправку на недоверенные хосты.

RV-D-1387

DNS-запрос к подозрительным внешним службам

Данное правило выявляет подозрительные DNS-запросы к доменам внешних служб, которые часто используются популярными сканерами уязвимостей и платформами для тестирования безопасности веб-приложений. Такие инструменты могут применяться атакующими на начальной стадии атаки для сбора разведывательной информации.

RV-D-1388

Обнаружен DNS-запрос к пулам Monero

Это правило обнаруживает подозрительные DNS-запросы к доменам, связанным с известными пулами майнинга Monero, что может указывать на вредоносную деятельность, такую как майнинг криптовалюты с использованием скомпрометированных хостов. После срабатывания правила важно определить, какой клиент инициировал DNS-запрос. Если активность подозрительна, необходимо заблокировать доступ к этим доменам и провести тщательный анализ хоста на предмет потенциальных компрометаций или программного обеспечения для майнинга.

RV-D-1392

Использование DNS-туннеля

DNS Tunneling — это метод кодирования передаваемой информации в DNS запросах. Данный метод может использоваться атакующими для обхода правил межсетевого экранирования и эксфильтрации данных. Правило отслеживает уникальные запросы для одного домена (значения после первой точки). При достижении заданного порога генерируются корреляционные события. Данное правило направлено на выявление DNS-запросов, содержащих base64-закодированные строки.

RV-D-1393

DNS-запрос к ресурсам Telegram API

Данное правило выявляет подозрительные DNS-запросы к домену api.telegram.org, которые могут использоваться ботами Telegram для передачи данных или выполнения управляющих команд. Такие действия потенциально могут быть связаны с обходом защитных механизмов и скрытой вредоносной активностью.

RV-D-1394

Обнаружен DNS-запрос к Killswitch-домену WannaCry

KillSwitch — это механизм экстренной остановки ВПО, встроенный разработчиками, который позволяет отключить или прекратить распространение вредоносной программы. В случае WannaCry, KillSwitch был реализован через проверку доступности определённого домена. Данное правило предназначено для выявления DNS-запросов к KillSwitch-доменам, связанным с WannaCry. Данное поведение может указывать на компрометацию хоста и заражение вредоносным ПО.

RV-D-1395

Множественные DNS-запросы с одного устройства

Множественные запросы к одному ресурсу с одного/различных хостов могут указывать на активность вредоносного ПО, устанавливающего связь с C2-серверами атакующего. Так атакующие могут взаимодействовать, используя протокол уровня приложений системы доменных имен (DNS), чтобы избежать обнаружения/сетевой фильтрации, смешиваясь с существующим трафиком.