Waarom het monitoren van DNS belangrijk is en hoe het kan helpen om netwerk compromise te detecteren

Geschreven door Kasper de Waard op 1 juli 2022 Leestijd : 2 minuten

Het actief monitoren van DNS (Domain Name System) is een goede manier om vroegtijdig eventuele hacks of ransomware te detecteren. In deze blogpost gaan we hier wat dieper op in.

Het monitoren van DNS is belangrijk omdat DNS de primaire manier is waarop ransomware varianten communiceren met hun command-and-control (C2) servers. Daarom is verdacht DNS-verkeer een veelbetekenend teken dat een apparaat op het netwerk is gecompromitteerd. Hoewel er talloze tools bestaan die DNS kunnen monitoren, zijn er een aantal belangrijke indicatoren om te monitoren namelijk, domeinleeftijd, verdachte domeinen en foute DNS-lookups.

We lopen de drie punten even door:

  1. Domein leeftijd - Veel ransomware varianten gebruiken domeinen om mee te communiceren. Een bekende ransomware group zoals Conti gebruikt bijvoorbeeld een domein “badiwaw[.]com”. Het is dus een best-practice om domeinen te controleren op leeftijd. Als het domein nog maar twee dagen geleden is geregistreerd, overweeg dan om uitgaand verkeer naar dat domein te blokkeren totdat verder onderzoek kan worden uitgevoerd.
     
  2. Verdachte domeinen - De term “verdacht” is moeilijk te definiëren, maar gemakkelijk te herkennen als je het ziet. Het is bijvoorbeeld gebruikelijk dat het domein google.com een ​​netwerk doorkruist. Het is echter niet gebruikelijk om het domein google.co1.123.abc te zien. Als u uitgaand verkeer opmerkt naar domeinen die vreemd of ongebruikelijk lijken, is verder onderzoek verstandig.
     
  3. Foutieve DNS-lookups - Als er op het netwerk een groot aantal DNS-lookup-foutberichten ontstaan kan het zijn dat een aanvaller een domeingeneratie-algoritme (DGA) gebruikt. DGA's worden gebruikt om duizenden domeinen te creëren met de bedoeling om met slechts een handvol van hen te communiceren. Het gebruik van DGA's maakt het voor de verdediger moeilijker om deze te blokkeren omdat het C2-domein regelmatig verandert en het opsommen en blokkeren van alle gegenereerde domeinen kan behoorlijk wat werk zijn.

picture_nextdns.png

Uiteindelijk moet elk van de bovengenoemde functies gemakkelijk te implementeren zijn door bijvoorbeeld gebruik te maken van een firewall-come-DNS service provider zoals NextDNS. De enige functie die moeilijk kan blijken, is de functie verdachte domeinen, omdat organisaties verschillende dingen als verdacht kunnen beschouwen. Echter, domeinleeftijd en DGA’s zijn in veel gevallen makkelijk te monitoren zonder extra hardware aan te schaffen.