Обнаруживайте вредоносный трафик в вашей сети и получайте подробные отчеты.
Скачайте и установите VM-решение DNSeye уже сегодня
Оставить заявку
Защитите всех своих пользователей на уровне DNS от вредоносного содержимого Интернета с помощью искусственного интеллекта.
Бесплатная пробная версия на 14 дней
Попробовать бесплатно
Получите самую продвинутую динамическую аналитику киберугроз для углубленного доменного анализа.
Регистрация не требуется
Получить свой первый анализ
Решения по необходимости

ОБНАРУЖЕНИЕ НЕВИДИМОГО ВРЕДОНОСНОГО ТРАФИКА

проблема

В базе данных Cyber X-Ray насчитывается 79 миллионов вредоносных доменов. Около 85% этих доменов не имеют IP-адреса.

Ниже приведен пример отчета о вредоносном трафике, обнаруженного в пассивном режиме. Поскольку домены не имеют IP-адресов, он записывается как 0.0.0.0 Вот почему вы не можете видеть, как зараженные устройства непрерывно пытаются подключить ботнет ccs к другим устройствам безопасности, работающим на уровне 7 (прикладной уровень), таким как брандмауэры, прокси-устройства, IP-адреса и т.д...

Домены без IP-адреса

1 Вредоносные домены

Некоторые вредоносные домены активны только до тех пор, пока не командуют "армией зомби" или пока у них нет IP-адреса, в результате чего они остаются незамеченными в протоколах, отличных от DNS. Эти вредоносные потоки представляют собой “запросы на подключение к командному центру”, генерируемые зараженными устройствами-зомби. Тот факт, что домен не имеет IP-адреса, не сигнализирует о вредоносном трафике на таких устройствах, как IPS, фильтр URL.

2 Домены DGA (алгоритм доменной генерации)

Еще одна вредоносная активность, которую можно проследить только с помощью анализа журнала DNS, - это запросы домена DGA (алгоритм доменной генерации). Домены DGA - это домены, мгновенно генерируемые устройством в соответствии с системными часами. Домены регистрируются только тогда, когда дана команда и введен IP-адрес Botnet C&C. С логикой OTP, используемой в двухфакторной аутентификации (2FA), домены запрашиваются всего несколько раз.

Таким образом, целями владелеца "армии зомби" являются:

1- Предотвращение обнаружения исследователями безопасности доменов подключения к командному центру;
2- Разблокировка "армии зомби" с помощью таймера.

Как Roksit помогает обнаруживать эти невидимые вредоносные действия?

Некоторые вредоносные действия, описанные выше, могут быть обнаружены только в результате анализа журнала DNS, поскольку зараженные клиенты пытаются подключиться к доменам без IP-адресов.

Продукт DNSEye от Roksit показывает зараженные устройства, постоянно пытающиеся подключиться к командному центру. Эти подозрительные активности должны быть тщательно проанализированы командами SOC.