Ürünü seçiniz

Secure DNS

14 günlük ücretsiz deneme

Kayıt olmak için tıklayın
Demo

Cyber X-Ray

Derin domain araştırması.

Şimdi bir domain araştırması başlatın!
Kayıt olmadan

DNS Visibility

DNS Visibility VM Appliance'ı indirin ve yükleyin

Bize Ulaşın.
İletişim formuna git
İhtiyaca göre çözümler

Görünmez Kötü Amaçlı
Trafiği Algılama

Problem:

Şuan Cyber X-Ray veritabanında 79 milyon adet kötü amaçlı alan adı vardır. Bu alan adlarının yaklaşık %85'inin bir IP adresi yoktur. Aşağıda, pasif durumda bulunan kötü amaçlı bir trafik raporu örneği verilmiştir. Domainlerin IP adresleri olmadığı için 0.0.0.0 olarak kaydedilir. Bu nedenle güvenlik duvarları, proxy cihazları, IPS vb. Layer 7'de (Uygulama Katmanı) çalışan diğer güvenlik cihazlarında sürekli Botnet CC'ye bağlanmaya çalışan virüslü makineleri göremezsiniz. Kurumsal ağlarda DNS verileri, tüm ağın güvenlik analizi yapılabilmekte ve karmaşık saldırılar tespit edilebilmektedir. Bunun için ürünler geliştirmek için çok çalışıyoruz.


IP adresi olmayan domainler

1- Kötü amaçlı (Malicious) Domainler

Bazı kötü niyetli domainlerin sadece zombi ordusuna komuta edene kadar aktif olmayı tercih etmeleri ve diğer zamanlarda IP adreslerinin olmaması, DNS dışındaki protokollerde algılanmamalarına neden olmaktadır. Bu kötü niyetli trafik, genellikle virüslü zombi cihazlar tarafından oluşturulan komuta merkezi bağlantı istekleridir. Domainin bir IP adresinin olmaması, IPS, URL Filtresi gibi cihazlarda kötü niyetli trafik ile ilgili herhangi bir aksiyon ortaya çıkarmaz.

2 - DGA (Domain Generation Algorithm)

Alan adları yalnızca DNS Log analizi ile görüntülenebilen bir diğer kötü amaçlı aktivite ise DGA (Domain Generation Algorithm) domain sorgularıdır. DGA etki alanları, sistem saatine göre makine tarafından anında oluşturulan etki alanlarıdır. Domainler sadece komut verildiğinde ve Botnet CC IP adresi girildiğinde kayıt edilir. İki faktörlü kimlik doğrulamada (2FA) kullanılan OTP mantığı ile alan adları yalnızca birkaç kez sorgulanır.  

Bu sayede zombi ordusunun sahibi iki şeyi hedefliyor;

1- Komuta merkezi bağlantılı domainlerin güvenlik araştırmacıları tarafından algılanmasını önlemek.

2- Bir zamanlayıcı ile zombi ordusunun kilidini açmak.


Roksit Olarak Çözümümüz:

Yukarıda açıklanan bazı kötü niyetli faaliyetler, virüslü istemcilerin IP adresi olmayan etki alanlarını bağlamaya çalışması nedeniyle yalnızca DNS Günlüğü analizinin bir sonucu olarak görülebilir.

Roksit DNS Visibility ürünü, sürekli olarak komut merkezine bağlanmaya çalışan virüslü cihazları tespit eder. Bunlar şüpheli faaliyetlerdir ve SOC ekipleri tarafından dikkatle analiz edilmesi gerekir.

Ürün hakkında detaylı bilgi için tıklayınız.

Başlamaya hazır mısınız?

14 günlük ücretsiz deneme

Roksit'i ücretsiz deneyin. Kredi kartı bilgisi istenmemektedir.