T1071-004-win-内主机向公网DNS发起可疑请求行为
来自ATT&CK的描述
攻击者可以使用域名系统(DNS)应用层协议进行通信,以免通过与现有流量混合来进行检测/网络过滤。远程系统的命令(通常是这些命令的结果)将嵌入在客户端和服务器之间的协议流量中。
DNS协议在计算机网络中起管理功能,因此在环境中可能非常常见。即使在完成网络身份验证之前,也可能允许DNS通信。DNS数据包包含许多字段和标头,可以在其中隐藏数据。攻击者通常被称为DNS隧道,可以滥用DNS与受害网络内受其控制的系统进行通信,同时还模仿正常的预期流量。
测试案例
检测内部网络客户端何时将DNS流量直接发送到公网上。对于托管网络来说,这是非典型的行为,并且可以指示恶意软件,渗透,命令和控制,或者简单地指出配置错误。此DNS活动还会影响您的组织提供企业监视和DNS日志记录的能力,并使您的网络容易遭受各种滥用和恶意通信。
参考文献:
- https://www.us-cert.gov/ncas/alerts/TA15-240A
- https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-81-2.pdf
检测日志
Network
测试复现
暂无
测试留痕
暂无
检测规则/思路
sigma规则
title: 检测内网主机向公网dns发起可疑请求行为
description: 通过网络流量检测内网主机向公网dns发起可疑请求行为
tags: T1071。004
status: experimental
references:
- https://www.elastic.co/guide/en/siem/guide/current/dns-activity-to-the-internet.html
logsource:
product: network
detection:
selection1:
destination.port: 53
selection2:
source.ip:
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
slection3:
destination.ip:
- 10.0.0.0/8
- 127.0.0.0/8
- 169.254.169.254/32
- 172.16.0.0/12
- 192.168.0.0/16
- 224.0.0.251
- 224.0.0.252
- ::1
- 255.255.255.255
- ff02::fb
condition: selection1 and not selection2
level: medium
Elastic rule query
destination.port:53 and source.ip:(10.0.0.0/8 or 172.16.0.0/12 or
192.168.0.0/16) and not destination.ip:(10.0.0.0/8 or 127.0.0.0/8 or
169.254.169.254/32 or 172.16.0.0/12 or 192.168.0.0/16 or 224.0.0.251
or 224.0.0.252 or 255.255.255.255 or "::1" or "ff02::fb")
建议
从这条规则中排除DNS服务器,因为这是预期的行为。端点通常查询在其DHCP作用域中定义的本地DNS服务器,但是如果用户将其端点配置为使用远程DNS服务器,则可以覆盖该端点。这在受管企业网络中并不常见,因为使用水平分割DNS可能会破坏Intranet名称解析。某些消费者VPN服务和浏览器插件可能会将DNS流量发送到远程Internet目的地。在这种情况下,当这是预期的行为时,可以从此规则中排除此类设备或网络。
参考推荐
MITRE-ATT&CK-T1071.004
https://attack.mitre.org/techniques/T1071/004/
检测内网主机向公网dns发起可疑请求行为
https://www.elastic.co/guide/en/siem/guide/current/dns-activity-to-the-internet.html