Обнаруживайте вредоносный трафик в вашей сети и получайте подробные отчеты.
Скачайте и установите VM-решение DNSeye уже сегодня
Оставить заявку
Защитите всех своих пользователей на уровне DNS от вредоносного содержимого Интернета с помощью искусственного интеллекта.
Бесплатная пробная версия на 14 дней
Попробовать бесплатно
Получите самую продвинутую динамическую аналитику киберугроз для углубленного доменного анализа.
Регистрация не требуется
Получить свой первый анализ
Решения по необходимости

ОБНАРУЖЕНИЕ НЕВИДИМОГО ВРЕДОНОСНОГО ТРАФИКА

проблема

В базе данных Cyber X-Ray насчитывается 79 миллионов вредоносных доменов. Около 85% этих доменов не имеют IP-адреса.

Ниже приведен пример отчета о вредоносном трафике, обнаруженного в пассивном режиме. Поскольку домены не имеют IP-адресов, он записывается как 0.0.0.0 Вот почему вы не можете видеть, как зараженные устройства непрерывно пытаются подключить ботнет ccs к другим устройствам безопасности, работающим на уровне 7 (прикладной уровень), таким как брандмауэры, прокси-устройства, IP-адреса и т.д...

Домены без IP-адреса

1 Вредоносные домены

Некоторые вредоносные домены активны только до тех пор, пока не командуют "армией зомби" или пока у них нет IP-адреса, в результате чего они остаются незамеченными в протоколах, отличных от DNS. Эти вредоносные потоки представляют собой “запросы на подключение к командному центру”, генерируемые зараженными устройствами-зомби. Тот факт, что домен не имеет IP-адреса, не сигнализирует о вредоносном трафике на таких устройствах, как IPS, фильтр URL.

2 Домены DGA (алгоритм доменной генерации)

Еще одна вредоносная активность, которую можно проследить только с помощью анализа журнала DNS, - это запросы домена DGA (алгоритм доменной генерации). Домены DGA - это домены, мгновенно генерируемые устройством в соответствии с системными часами. Домены регистрируются только тогда, когда дана команда и введен IP-адрес Botnet C&C. С логикой OTP, используемой в двухфакторной аутентификации (2FA), домены запрашиваются всего несколько раз.

Таким образом, целями владелеца "армии зомби" являются:

1- Предотвращение обнаружения исследователями безопасности доменов подключения к командному центру;
2- Разблокировка "армии зомби" с помощью таймера.

Как Roksit помогает обнаруживать эти невидимые вредоносные действия?

Некоторые вредоносные действия, описанные выше, могут быть обнаружены только в результате анализа журнала DNS, поскольку зараженные клиенты пытаются подключиться к доменам без IP-адресов.

Продукт DNSEye от Roksit показывает зараженные устройства, постоянно пытающиеся подключиться к командному центру. Эти подозрительные активности должны быть тщательно проанализированы командами SOC.

учить больше
Решения по необходимости
Защита клиентов в роуминге
Экономия более 95% затрат на обработку журналов DNS, благодаря умной интеграции SIEM
Защита от впервые увиденных доменов
Простота формирования DNS-журнала
Обнаружение атак DNS-туннелирования
Обнаружение невидимого вредоносного трафика
Обнаружение "незамеченного" в вашей сети
Точное обнаружение источников вредоносного DNS-трафика
Мы ценим вашу конфиденциальность
Нажимая «Принять файлы cookie», вы соглашаетесь на сохранение файлов cookie на вашем устройстве для улучшения навигации по сайту, анализа использования сайта и улучшения наших маркетинговых коммуникаций.  Ознакомьтесь с нашей Политикой конфиденциальности для получения дополнительной информации.
Принять файлы cookieОтклонить файлы cookieНастройки
338a Regents Park Road, Office 3 And 4, N3 2LN London, United Kingdom
Компания
О насПочему Roksit?РуководствоКонтакты
Продукты
DNSEyeDNSDomeCyber X-Ray
Ресурсы
ЗагрузкиЧасто задаваемые вопросы
Ссылки
LinkedinYoutube
Roksit DNS IP Adresses
45.129.19.19
45.129.19.20

© 2023 | Roksit

Условия использованияПолитика конфиденциальности