Использование DNS-данных для обнаружения вредоносных программ

Использование DNS-данных для обнаружения потенциально вредоносных программ

В этой статье вы узнаете, как используются DNS-данные для обнаружения потенциально вредоносных программ.

Процесс идентификации вредоносных программ включает в себя нахождение источника появления вредоносных программ. Организации необходимо быстро определять рабочую станцию, «инфицированную» вредоносными ПО с тем, чтобы предотвратить быстрое распространение «инфекции» и уменьшить вред от ее воздействия.

Решение проблемы

В рассматриваемом случае лучше использовать такие программы как Splunk Cloud (или Splunk Enterprise), Splunk Enterprise Security (ES) и Splunk App for Stream. Вы можете оценить угрозы, рассмотреть значительные и важные события безопасности и вести мониторинг доменов безопасности в панелях Splunk ES.

Splunk App for Stream отбирает и анализирует DNS-данные для того, чтобы была возможность обнаружить деятельность зараженных машин и их попытки связаться с командными центрами бот-сетей.

Источники данных

Логи антивируса с рабочей станции, DNS запросы, журналы поиска в сети и логи web-surfing с прокси-сервера.

Конфигурация

Начните со Splunk Cloud, добавьте Splunk Enterprise Security (всегда используйте актуальную последнюю версию) и установите Splunk App for Stream. Далее установите и сконфигурируйте надстройки Stream. Затем настройте источники данных: журналы антивируса с рабочих станций; журналы DNS и журналы прокси-сервера.

Рабочий процесс

Идентифицируйте «инфицированные» хосты

Панели ES Security Posture и Incident Review являются начальными экранами, с которых следует начинать проверку текущего состояния «заражения». Событие High or Critical Priority Host With Malware Detected делает моментальный снимок высоко приоритетных хостов, которые в данный момент подвержены «заражению» вредоносными программами.

DNS данные

 

 

 

 

 

 

 

 

 

 

 

 

 

Определение масштабов атаки

DNS данные

 

 

 

 

 

 

 

 

 

 

 

 

Основное внимание следует обратить на «инфицированные» хосты с пометкой Mal/Packer, которые используются злоумышленниками для заражения хостов вирусами, червями и троянами. На панели Incident Review перечислены несколько хостов с пометкой Mal/Packer, которые возможно подверглись атакам вредоносного ПО и должны быть незамедлительно «вылечены». В то время как аналитик 1-го уровня начинает очистку хостов, аналитики второго и третьего уровней могут продолжать исследование потенциальных вспышек заражения и определить уязвимости и атаки нулевого дня.

Хосты, взаимодействующие с командными центрами бот-сетей

DNS данные

 

 

 

 

 

 

 

 

 

 

Подпись Mal/Packer часто показывает статистику по связям с командными центрами. DNS Activity и DNS Search панели отображают хосты, связанные с подозрительными доменами, которые чаще всего используются для связи с С&С. Такие ПК могут являться носителями вируса и распространять его дальше.

Нахождение вредоносов

4

 

 

 

 

Выполняя поиск, Вы сможете определить, какие зараженные ПК выполняют DNS-запросы для связи с удаленными серверами контроля и управления бот-сетями, что указывает на наличие «инфекции» в системе.  Самый простой поиск показывает хосты, которые обходят системы защиты от вредоносных программ и выполняют DNS-запросы в соответствии с командами C&C — эти зараженные машины, могут распространять зловредное ПО и инфицировать другие компьютеры.

Исправление ситуации

5

 

 

 

 

 

 

 

 

 

 

 

Теперь, когда зараженный ПК был идентифицирован, аналитик может добавить в свое исследование заметку о том, что в дальнейшем необходимо следить за развитием ситуации и принимать соответствующие меры для исправления положения.

Заключение

Панель Incident Review в Splunk ES используется для оценки размеров эпидемии. Поиски с помощью DNS-данных в Splunk App for Stream применяют для идентификации C&C.

Для получения дополнительной информации, пожалуйста, перейдите по ссылке: http://docs.splunk.com/Documentation/ES/latest/Usecases/PatientZero