DNS通常用于将域名解析成IP地址,组织内网部署DNS服务器用于某些情况下某些域名下的网站是不需要组织外的人访问的,比如一些内部系统只有组织内部的人会使用,所以就没必要把域名放到外网的DNS服务器上进行解析。组织内网部署DNS服务器上保存的域名跟IP的对应关系一般都是组织内部域名跟IP的对应关系,涉及到外网的域名解析时,由DNS服务器进行递归查询,但通常由于探针设备镜像流量原因,镜像流量没有办法深入到接入层交换机,通常会导致在终端感染恶意软件或者木马时,终端会产生恶意外联行为,比如访问矿池进行挖矿,访问恶意C2域名,在解析域名的时候都是通过内网DNS服务器进行解析,内网DNS服务器上一般都不存在外网域名记录,此时DNS服务器进行递归查询获取恶意矿池、C2域名的DNS信息。这一行为被探针捕获后发现解析恶意域名的源IP地址是DNS服务器,就会将DNS服务器标记成失陷主机。但我们都知道其实失陷的应该是终端,而不是DNS服务器。
通过前面场景描述分析,整体治理思路有两种:
1、探针镜像到主机向内网DNS服务器解析恶意域名的流量,从根源上找打真正失陷的主机。
2、如果在无法调整镜像流量的位置,将内网DNS服务器上的DNS解析日志传输给XDR,通过XDR进行关联分析,自动溯源找到真正失陷主机。
1、调整探针镜像口的位置,如下图所示,将原先镜像口由A(镜像DNS服务器后)切换到B处(镜像主机到DNS服务器的流量)
2、无法调整镜像流量的位置情况下,需要内网DNS服务器上的DNS解析日志传输给XDR,具体配置步骤参考
接入完成后,在日志检索导航栏可以看到DNS服务器上报的数据
过滤条件为上报设备:DNS Log
当终端访问访问矿池进行挖矿,访问恶意C2域名,XDR会自动进行关联分析,找出真正失陷主机。
DNS服务器地址为192.168.21.10,组件上报的源IP地址是192.168.21.10,经过XDR关联分析后,源IP地址被更新成真实失陷主机192.168.191.33
建议使用Chrome浏览器访问!