Les criminels vont abuser de tout service Internet ou protocole dès qu'ils auront l'opportunité. Voici six indices d'activité suspecte à surveiller dans le DNS.
Les administrateurs des TI (IT admins) ont la tâche ingrate de défendre les dispositifs, les hôtes et les réseaux des indices d'activité malveillante. La détection des intrusions au niveau de l'hôte et la protection des terminaux peuvent éventuellement « être obligés d'avoir » des mesures de sécurité pour de nombreuses organisations, mais il n'y a rien comme la surveillance du trafic du DNS si vous envisagez d'identifier un RAT, (outil de contrôle à distance) un rootkit, (logiciel malveillant furtif), des APT, (menaces persistantes avancées) ou d'autres logiciels malveillants installés sur vos réseaux.
Pourquoi le DNS ?
Les criminels vont abuser de tout service Internet ou protocole dès qu'ils auront l'opportunité, et cela inclut le DNS. Ils enregistrent des noms de domaine temporaires pour les campagnes de courrier indésirable et l'administration de réseaux zombies, et ils utilisent des domaines mis en péril pour héberger des téléchargements de hameçonnage ou de logiciels malveillants (maliciels). Ils injectent des requêtes malveillantes afin d'exploiter des serveurs de noms ou de perturber la résolution de noms. Ils injectent des réponses rusées pour empoisonner les caches du programme de résolution de noms ou amplifier les attaques par déni de service. Ils utilisent éventuellement le DNS comme un canal caché pour l'exfiltration de données ou pour la mise à jour des logiciels malveillants.
Il est possible que vous ne soyez pas en mesure de suivre le rythme de chaque nouvelle exploitation du DNS, mais vous pouvez être proactif à l'aide de pare-feux, de réseaux IDS ou de programmes de résolution de noms afin de rendre compte de certains indicateurs d'activité suspecte du DNS.
Qu'est-ce que vous cherchez ?
La composition des requêtes du DNS ou les modèles de trafic indiquent que les activités suspectes ou malveillantes proviennent de vos réseaux. Par exemple :
les requêtes DNS en provenance d'adresses usurpées ou d'adresses dont vous n'avez pas autorisé l'utilisation mais qui ne sont pas filtrées à la sortie (surtout quand cela est observé en conjonction avec un volume de requêtes DNS anormalement élevé ou des requêtes DNS qui utilisent TCP plutôt qu'UDP) peuvent indiquer que les hôtes infectés sur votre réseau font l'objet d'une attaque DDoS.
Les requêtes DNS malformées peuvent être le symptôme d'une attaque à la vulnérabilité de l'exploitation contre le serveur ou le programme de résolution de noms identifiés par l'adresse IP de destination. Elles peuvent également indiquer que, dans votre réseau, il y a des dispositifs qui fonctionnent de manière incorrecte. Les logiciels malveillants ou les essais manqués pour supprimer ces logiciels malveillants peuvent être les causes de ce type de problèmes.
Les requêtes DNS qui demandent la résolution de noms de domaines malveillants ou de noms ayant des caractéristiques communes aux algorithmes de génération de noms de domaine (DGA) associées à des réseaux zombies criminels et à des requêtes aux programmes de résolution de noms dont vous n'aurez pas autorisé l'utilisation sont, dans de nombreux cas, des indicateurs de l'existence d'hôtes infectés dans vos réseaux.
Les réponses DNS offrent également des indices que des données suspectes ou malveillantes sont distribuées aux hôtes sur vos réseaux. Par exemple, des caractéristiques de la longueur ou de la composition des réponses DNS peuvent révéler une intention malveillante ou criminelle. Par exemple, les messages de réponse sont anormalement longs (attaque d'amplification) ou la réponse ou les sections supplémentaires du message de réponse sont suspectes (empoisonnement du cache, canal caché).
Les réponses DNS pour votre propre portefeuille de domaines qui résolvent les adresses IP différentes de ce que vous avez publié dans vos zones faisant autorité, les réponses des serveurs de noms que vous n'aurez pas autorisé à héberger votre zone, et des réponses positives aux noms dans vos zones qui devraient résoudre l'erreur de nom (NXDOMAIN) peuvent indiquer l'utilisation frauduleuse d'un nom de domaine ou une modification à la réponse du DNS.
Les réponses DNS d'adresses IP suspectes, par exemple, adresses de blocs IP attribués au réseau d'accès à large bande, trafic DNS figurant sur le port non standard, un nombre anormalement élevé de messages de réponse qui résolvent des domaines avec des durées de vie (TTL) courtes ou un nombre anormalement élevé de réponses contenant « erreur de nom » (NXDOMAIN) sont souvent des indicateurs de réseaux zombies contrôlés ou d'hôtes infectés qui exécutent des logiciels malveillants.
Diverses formes de surveillance du DNS peuvent exposer ces menaces, un grand nombre en temps réel. Dans la partie II, j'ai regardé la manière dont vous pouvez mettre en place des mécanismes pour les détecter avec les pare-feux Internet, à l'aide de systèmes de détection d'intrusions, analyse du trafic, ou données de connexion.
Cet article a été publié le 12 juin 2014 à Dark Reading.