Select Product

Secure DNS

Free 14 days trial

Click to register

Start Demo

Cyber X-Ray

Deep domain  investigation.

Start a domain search now!
Registration is not required

DNS Visibility

Download and install DNS Visibility

VM ApplianceContact us.
Go to form
Решения по потребностям

Обнаружение невидимого
вредоносного трафика

Проблема:

В базе данных Cyber X-Ray насчитывается 79 миллионов доменов вредоносных программ. Примерно 85% этих доменов не имеют IP-адреса. Ниже приведен пример отчета о вредоносном трафике, обнаруженного в пассивном состоянии. Поскольку у доменов нет IP-адресов, то они записываются как 0.0.0.0. Вот почему вы не можете видеть зараженные машины, постоянно пытающиеся подключиться к Botnet CC (ботнет командный центр) в других устройствах безопасности, которые работают на уровне 7 (Уровень приложений), таких как брандмауэры, прокси-устройства, IPS и др. Мы считаем, что с помощью анализа данных DNS в корпоративных сетях можно провести анализ безопасности всей сети и обнаружить сложные атаки. Мы прилагаем все усилия для разработки продуктов для этого.


Домены без IP-адресов

1- Вредоносные домены

Причина этого заключается в том, что некоторые вредоносные домены предпочитают быть активными только до тех пор, пока они не будут командовать армией зомби, и в другое время у них нет IP-адреса, в результате чего они остаются незамеченными в протоколах, отличных от DNS. Этот вредоносный трафик часто представляет собой запросы на подключение к командному центру, генерируемые зараженными зомби-устройствами. Тот факт, что у домена нет IP-адреса, не вызывает события о вредоносном трафике на таких устройствах, как IPS, фильтр URL.

2 – Домены DGA (алгоритм генерации домена)

Еще одна вредоносная активность, которую можно просмотреть только с помощью анализа журналов DNS, — это доменные запросы DGA (алгоритм генерации домена). Домены DGA — это домены, мгновенно генерируемые машиной в соответствии с системными часами. Домены регистрируются только после подачи команды и ввода IP-адреса CC ботнета. С логикой OTP, используемой в двухфакторной аутентификации (2FA), домены запрашиваются всего несколько раз.

Таким образом, владелец армии зомби стремится к двум вещам:

1- Предотвратить обнаружение доменов подключения к командному центру исследователями безопасности.

2- Разблокировка армии зомби с помощью таймера.

Решение от Roksit:

Некоторые вредоносные действия, описанные выше, можно увидеть только в результате анализа журнала DNS из-за того факта, что зараженные клиенты пытаются подключиться к доменам, не имеющим IP-адреса.

Продукт DNS Visibility показывает зараженные устройства, которые постоянно пытаются подключиться к командному центру. Эти подозрительные действия, которые должны быть тщательно проанализированы командами SOC.

Нажмите, чтобы получить подробную информацию о продукте.

Готовы начать?

Начните бесплатную 14-дневную пробную версию

Попробуйте Roksit бесплатно. Кредитная карта не требуется.