Zararlı Trafiği Anında Tespit Edin ve Detaylı Raporlar Alın!
DNSEye VM uygulamasını indirin  ve yükleyin
İletişime Geçin
Kurumunuzu ve Çalışanlarınızı Zararlı İçeriklerden Yapay Zekanın Yardımıyla Koruyun!
14 gün ücretsiz deneyin
Ücretsiz Deneyin
Dünyanın En Gelişmiş Dinamik Siber Tehdit İstihbaratıyla Tanışın!
Analiz etmeye hemen başlayın
Ücretsiz Analiz Alın
İhtiyaca Göre Çözümler

Görülemeyen Zararlı Trafiği Tespit Edin

İhtiyaç

Cyber X-Ray'in veri tabanının yaklaşık %85’i, IP adresi olmayan 79 milyon zararlı domainden oluşmaktadır. Aşağıdaki pasif durumda bulunan zararlı bir bağlantıyı gösteren iyi bir örnek bulunmaktadır. IP adresleri olmadığı için, domainler 0.0.0.0 olarak kaydedilmiştir. Bu nedenle, güvenlik duvarları, proxy cihazları, IPS gibi Layer 7'de (Uygulama Katmanı) çalışan diğer güvenlik cihazlarını kullanarak sürekli botnet cc'ye bağlanmaya çalışan virüslü makineleri göremezsiniz.

Kurumsal ağlarda DNS verilerinin analizi ile tüm ağın güvenlik analizinin yapılabileceğine ve karmaşık saldırıların tespit edilebileceğine inanıyoruz. Bu ürünleri geliştirmek için çok çalışıyoruz.

IP Adresi Olmayan Domainler

1) Zararlı Domainler

Bazı kötü amaçlı domainlerin kullanılma sebebi, zombi ordusuna komuta edene kadar aktif olmayı tercih etmeleri ve diğer zamanlarda IP adreslerinin bulunmaması nedeniyle DNS dışındaki protokollerde tespit edilememeleridir. Kötü amaçlı bu trafikler, genellikle virüs bulaşmış zombi cihazlar tarafından oluşturulan komuta merkezine bağlantı istekleri gönderir. Domainin IP adresi olmadığı için IPS, URL Filtresi gibi cihazlarda herhangi bir kötü amaçlı trafiğe neden olmaz.

2) DGA (Domain Generation Algorithm)

Yalnızca DNS Log analiziyle görüntülenebilecek bir başka zararlı aktivite DGA Domain sorgularıdır. DGA, sistem saatine göre makine tarafından anlık olarak üretilen domainlerdir. Domainler sadece komut verildiğinde ve Botnet CC IP adresi girildiğinde kaydedilirler. Domainler 2FA'da kullanılan OTP mantığıyla sadece bir kaç kez sorgulanır.

Bu yöntemi kullanan Zombi Ordusu sahibinin iki amacı vardır:

1) Komuta merkezi bağlantı alanlarının güvenlik araştırmacıları tarafından tespit edilmesini engellemek.
2 ) Zombi ordusunu bir zamanlayıcıyla serbest bırakmak.2- Unlocking the zombie army with a timer.

Roksit'in Çözümü

Yukarıda açıklanan bazı kötü amaçlı faaliyetler, virüslü istemcilerin IP adresi olmayan domainlere bağlanmaya çalışması nedeniyle yalnızca DNS Log analizi ile görülebilir.

Roksit DNSEye, komuta merkezine sürekli bağlanmaya çalışan virüslü cihazları gösterir. Şüpheli olan bu faaliyetler SOC ekipleri tarafından dikkatlice analiz edilmelidir.