「Predict」と呼ばれるマルウェア関連のDNSクエリの 無料データセットのリリースについて読みました 。研究者またはネットワークセキュリティチームは、このデータセットをダウンロードまたはクエリし、DNSを使用してマルウェア通信を特定するために使用できます。商用ベンダーはすでにそのようなサービスを提供しています。
マルウェアがDNSを使用する2つの方法を知っています。
ニュース記事のデータセットは両方に対して保護できるようです。
その最初の使用では、マルウェアプログラムはいくつかのドメイン名を生成し、1つがIPアドレスに解決されるまで、それぞれを照会します。次にボットは、コマンドアンドコントロールサーバーのIPアドレスにアクセスします。これは1)マルウェア自体の特定のIPアドレスを明らかにしないための便利な方法でした。 2)特定のCommand and Controlサーバーがダウンした(またはネットワーク管理者によってブロックされた)場合に回復します。
2番目の用途のDNSは、TCP/IPではなくDNS自体を介して通信するため、停止が困難です。 DNSサーバーを使用して、このようなトラフィックを試行してフィルタリングすることは、実際的でない場合があります。
そのため、「Predict」データセットのような連携により、マルウェアがDNSを使用するリスクが高まります。これは、DNSが毎日何万ものDNSクエリを収集し、世界中に通知するためです。もちろん、それらすべてを見つけることはできませんが、おそらくDNSをより危険に使用するには十分です。
では、これを知って、なぜDNSを使用するのでしょうか。マルウェアの観点からは、DNSを使用する代わりに1つまたは複数の直接IPアドレスに接続するだけの方が簡単で安全ではないでしょうか。ドメインの登録をスキップして、存在の内外で点滅し、同じ目的を果たすIPアドレスを使用するだけではどうですか。おそらく、DNSトラフィックを調べてDNSの速度を低下させる問題が原因で、「予測」などのデータセットを完全に使用できなくなっていますか?
マルウェアによるDNSの使用はこれで終わりですか?
いいえ。風景を少し微調整するかもしれませんが、それほど大きくないかもしれません。
ニュース記事のデータセットは両方に対して保護できるようです。
これは、他の人が以前に見つけたマルウェアを使用している人を見つけるのに役立ちます。あなたに対する攻撃のためだけに書き込みドメインを設定した人や、まだ他の人に捕まられていない人を捕まえるのには役に立ちません。
2番目の用途のDNSは、TCP/IPではなくDNS自体を介して通信するため、停止が困難です。 DNSサーバーを使用して、このようなトラフィックを試行してフィルタリングすることは、実際的でない場合があります。
この種のブラックリストを実行する「DNSファイアウォール」があります。完全に実用的です。ただし、ここでも、「ブラックリスト」ゲームのルールによって厳しく制限されています。
そのため、「Predict」データセットのような連携により、マルウェアがDNSを使用するリスクが高まります。これは、DNSが毎日何万ものDNSクエリを収集し、世界中に通知するためです。もちろん、それらすべてを見つけることはできませんが、おそらくDNSをより危険に使用するには十分です。
では、これを知って、なぜDNSを使用するのでしょうか。
PREDICT GTマルウェアパッシブDNSデータセット(以下、PREDICT-GTMPDNS)のようなものは徐々に増加しますがリスクは増加しますが、私は確かに大幅に増加することはありませんリスクを高めます。悪意のあるオペレーターは、DNSベースのWebサイトがフィルタリングプロキシによって妨害される可能性があり、メールサーバーがRBLを使用してブロックされる可能性があり、ファイアウォールルールが定期的に出力トラフィックを制限しようとする世界で快適に動作しています。
彼らがDNSを使用する理由の1つは、下りでブロックするのが難しいことです。DNSの間接的な性質により、すべてをブロックせずに一部を簡単にブロックすることはできません。 DNSに害のない場所を指定させ、使用中に悪意のある場所に一時的に切り替わらせてから元に戻すこともできます。IPを使用するのは難しく、DNSを使用すると簡単です。
マルウェアの観点からは、DNSを使用する代わりに1つまたは複数の直接IPアドレスに接続するだけの方が簡単で安全ではないでしょうか。
歴史的に、ダイレクトIPアドレッシングの柔軟性の欠如は、その魅力を弱めてきました。 PREDICT-GTMPDNSはDNSの魅力を減らすのに役立ちますが、それを除外するのに十分ではありません。
ドメインの登録をスキップして、存在の内外で点滅し、同じ目的を果たすIPアドレスを使用するだけではどうですか。
ドメインよりも「存在の点滅」でIPアドレスを取得することは困難です。また、ハードコードされたアドレスでマルウェアを送信すると、マルウェアはそのアドレスでスタックし、自分を止めずに存在を消滅させることはできません。
おそらく、DNSトラフィックを調べてDNSの速度を低下させる問題が原因で、「予測」などのデータセットを完全に使用できなくなっていますか?
DNSインスペクションコストは問題にならないほど十分に低い...実際の問題は他のブラックリストと同様に、サンプルサイズとターンアラウンドタイムです。データベース入力がそこにあるマルウェアの50%をカバーしている場合、それは途方もなく素晴らしいことです。そして、リリースの翌日にマルウェアが検出、送信、実行、およびインデックス付けされたとしましょう...データベースが追いつく前に、マルウェアが24時間無料で実行され、マルウェアがクリアされます。
実際には、PREDICT-GTMPDNSへの入力は包括的でなく、新しいマルウェアのリリースに追いつくのに時間がかかると思います。キャッチアップをプレイするのは大変です。
それは、PREDICT-GTMPDNSが素晴らしいアイデアではないということではありません。そうです。しかし、それはどんな種類の特効薬でもありません。