Het actief monitoren van DNS (Domain Name System) is een effectieve manier om vroegtijdig hacks of ransomware-aanvallen te detecteren. In deze blogpost duiken we dieper in op dit onderwerp.
Het monitoren van DNS is belangrijk omdat DNS de primaire manier is waarop ransomware-varianten communiceren met hun command-and-control (C2) servers. Daarom is verdacht DNS-verkeer een veelbetekenend teken dat een apparaat op het netwerk is gecompromitteerd. Hoewel er talloze tools bestaan om DNS te monitoren, zijn er een aantal belangrijke indicatoren om op te letten, namelijk domeinleeftijd, verdachte domeinen en foutieve DNS-lookups.
Laten we deze drie punten nader bekijken:
- Domeinleeftijd: Veel ransomware-varianten gebruiken nieuw geregistreerde domeinen om te communiceren. Een bekende ransomware-groep zoals Conti gebruikte in het verleden bijvoorbeeld het domein “badiwaw[.]com”. Het is dus een best practice om domeinen te controleren op leeftijd. Als een domein slechts twee dagen geleden is geregistreerd, overweeg dan om uitgaand verkeer naar dat domein te blokkeren totdat verder onderzoek is uitgevoerd.
- Verdachte domeinen: De term “verdacht” is moeilijk te definiëren, maar gemakkelijk te herkennen. Het is bijvoorbeeld gebruikelijk dat het domein google.com een netwerk doorkruist. Het is echter niet gebruikelijk om het domein google.co1.123.abc te zien. Als u uitgaand verkeer opmerkt naar domeinen die vreemd of ongebruikelijk lijken, is verder onderzoek verstandig.
- Foutieve DNS-lookups: Als er op het netwerk een groot aantal DNS-lookup-foutberichten ontstaat, kan het zijn dat een aanvaller een domeingeneratie-algoritme (DGA) gebruikt. DGA’s worden gebruikt om duizenden domeinen te creëren met de bedoeling om met slechts een handvol daarvan te communiceren. Het gebruik van DGA’s maakt het voor de verdediger moeilijker om deze te blokkeren omdat het C2-domein regelmatig verandert en het opsommen en blokkeren van alle gegenereerde domeinen veel werk kan zijn.
Uiteindelijk moeten elk van de bovengenoemde functies gemakkelijk te implementeren zijn door bijvoorbeeld gebruik te maken van een firewall-come-DNS service provider zoals NextDNS. De enige functie die moeilijk kan blijken, is de functie verdachte domeinen, omdat organisaties verschillende dingen als verdacht kunnen beschouwen. Echter, domeinleeftijd en DGA’s zijn in veel gevallen eenvoudig te monitoren zonder extra hardware aan te schaffen.