私は OpenDNS を会社で使用する可能性があるものとして調査してきました 彼らは主張します Cryptolockerスタイルのランサムウェアはほとんどの場合DNSを使用して "phone home"とそのOpenDNSブロックをしますこれにより、ランサムウェアが悪意のある行為をするのを防ぎます。マルウェアの作成者は、OSのデフォルトのDNSサーバーを使用する代わりに、IPをハードコードするか、DNSサーバーのIP(8.8.8.8の日陰のバージョンなど)をハードコードするのではないかと思います。ボットネットコントローラー(またはマルウェアがどこに電話をかけるか)のハードコードされたIPは、そのIPがシャットダウンまたはブロックされた場合に問題になるとわかりますが、別のDNSを使用してホスト名を解決し続けることもできます。彼らはそれをひどく悪用していた。
何か不足していますか?これは、ランサムウェアが実際にどのように機能するか、またはこの主張は単なるマーケティングですか?ランサムウェアがOS DNSサーバーを使用し、それ自体を使用できなかった技術的な理由はありますか?
はい、これはそれをブロックします。クラッカーとしてハードコードされたIPアドレスを何かに使用することは、単一のポイントに縛られるので、ひどい考えです。あなたがクラッカーだとしたら、機動性と移動性を維持したいので、彼らはあなたを見つけることができません。単一の静的IPアドレスに関連付けられているため、非常に簡単に見つけることができます。それ以外の場合は、最初に明日のDNSを使用してマルウェアの新しいバージョンを送信する必要があります。その後、誰かが手動で接続し、新しいマルウェアを取得し、DNSを引き出し、明日のために登録されているIPを見つけると、そのパターンで簡単に見つけられます。 、行き、待って、それからあなたは捕まった。
この問題は、DNSを使用してフローティングIPアドレスをドメインに関連付けておくことで解決されます。このDNSは、ボットネットにコマンドを送信するサーバーへの「フォンホーム」に接続する必要があります。 OpenDNSはこれらの悪質なボットネットをログに記録し、DNSレベルでそれらをブロックします。そのため、OSや感染したコンピューターは、ボットネットに到達できないことさえわかりません。クラッカーは現在何もしていないと考えているだけなので、ボットネットには参加していません。これを行うには、OpenDNSはそれらのサーバーへのアクセスを阻止します。
あなたの質問への回答:はい、それは役立ちます。しかし、それは時間との戦いです。
コンピューターが感染した場合でも、マルウェアは攻撃者のC&Cサーバーにダイヤルバックして、暗号化キーを送信してハードディスクを暗号化し、攻撃者があなたを識別して、誰が誰に、どの復号化キーを支払ったかを知ってもらう必要があります。リリース。また、支払いにはビットコインのアドレスが表示されます。
非常にやる気のある攻撃があなただけを対象としているのでない限り、攻撃者はフィッシングメールやソーシャルメディアの不正広告を介してネットをキャストし、被害者が餌をとるのを待っています。私が怖いのは、悪意のあるWebサイトがFlash Player、Java、Adobe Reader、Silverlightなどのブラウザープラグインの脆弱性を悪用するドライブバイ感染です。ユーザーが感染したリンクにアクセスすると、コンピューターが感染する可能性があります。
これは私を導きます:
IPおよびURLインテリジェンスサービスは、セキュリティオペレーターの専任チームに依存して、分析エンジンの上で顧客のネットワーク動作を分析します。
幸運なことに、SOCチームは、ユーザーが「患者ゼロ」になり、最初に被害を受ける前に、悪意のあるサイトを検出して閉鎖する可能性があります。
私はSOCチームの出身ではありませんが、ニュースで報告された重大な違反は、攻撃を報告した最初の不幸な犠牲者を介して検出されることが多いと思います。特に、攻撃者が100万ドルの取引に取り組んでいることに気付いたとき、または年末の監査/販売レビューを行っているときに攻撃者がファイルの暗号化を待機しているAdvanced Persistent Threatsについては特にそうです。
一部の新しい次世代ファイアウォールは、8.8.8.8またはその他のパブリックDNSサービスに送信された場合でも、DNSクエリをインターセプトします。 OpenDNSの人たちは常にマルウェアに所有するIPアドレスで応答し、マルウェアがトラフィックをそのIPに送信して、悪意のあるコンテンツを分析およびブロックできるようになると思います。
palo Altoのようなファイアウォールは、DNSクエリに既知の悪意のあるドメインが含まれているかどうかをチェックすることで同じことを行います。デバイスは、マルウェアがトラフィックを転送するように、設定したIPアドレスで応答できます。 DNSシンクホール、悪意のあるドメインのリスト、脅威インテリジェンスについて少し読むことをお勧めします