疑わしいDNSクエリにより、SophosUTMで「侵入防止アラート」が発生します
顧客のSophos-UTMはIntrusion protection alert警告INDICATOR-COMPROMISE suspicious .null dns query:
2019:01:15-11:54:13 utm-ba snort[31619]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="INDICATOR-COMPROMISE suspicious .null dns query" group="241" srcip="192.168.0.1" dstip="192.168.0.254" proto="17" srcport="49445" dstport="53" sid="48666" class="Misc activity" priority="3" generator="1" msgid="0"
ドメインコントローラーでDNSロギングを有効にして、このデータを取得しました。 (名前は難読化されています)
ドメインコントローラーのDNSログから
ログ内のデバイス
- 192.168.0.1 =ドメインコントローラー(DomainServer.dom.local)
- 192.168.0.16 = QNAP NAS
- 192.168.0.254 =ソフォスUTM
15.01.2019 11:53:39 2728 PACKET 000000E796562170 UDP Rcv 192.168.0.16 4c9e Q [0001 D NOERROR] AAAA (12)NameOfServer(3)dom(5)local(3)dev(4)null(0)
UDP question info at 000000E796562170
Socket = 556
Remote addr 192.168.0.16, port 56856
Time Query=533586, Queued=0, Expire=0
Buf length = 0x0fa0 (4000)
Msg length = 0x0031 (49)
Message:
XID 0x4c9e
Flags 0x0100
QR 0 (QUESTION)
OPCODE 0 (QUERY)
AA 0
TC 0
RD 1
RA 0
Z 0
CD 0
AD 0
RCODE 0 (NOERROR)
QCOUNT 1
ACOUNT 0
NSCOUNT 0
ARCOUNT 0
QUESTION SECTION:
Offset = 0x000c, RR count = 0
Name "(12)NameOfServer(3)dom(5)local(3)dev(4)null(0)"
QTYPE AAAA (28)
QCLASS 1
ANSWER SECTION:
empty
AUTHORITY SECTION:
empty
ADDITIONAL SECTION:
empty
15.01.2019 11:53:39 2728 PACKET 000000E7932A4220 UDP Snd 192.168.0.254 4eb1 Q [0001 D NOERROR] AAAA (12)NameOfServer(3)dom(5)local(3)dev(4)null(0)
UDP question info at 000000E7932A4220
Socket = 11688
Remote addr 192.168.0.254, port 53
Time Query=0, Queued=0, Expire=0
Buf length = 0x0fa0 (4000)
Msg length = 0x003c (60)
Message:
XID 0x4eb1
Flags 0x0100
QR 0 (QUESTION)
OPCODE 0 (QUERY)
AA 0
TC 0
RD 1
RA 0
Z 0
CD 0
AD 0
RCODE 0 (NOERROR)
QCOUNT 1
ACOUNT 0
NSCOUNT 0
ARCOUNT 1
QUESTION SECTION:
Offset = 0x000c, RR count = 0
Name "(12)NameOfServer(3)dom(5)local(3)dev(4)null(0)"
QTYPE AAAA (28)
QCLASS 1
ANSWER SECTION:
empty
AUTHORITY SECTION:
empty
ADDITIONAL SECTION:
Offset = 0x0031, RR count = 0
Name "(0)"
TYPE OPT (41)
CLASS 4000
TTL 32768
DLEN 0
DATA
Buffer Size = 4000
Rcode Ext = 0
Rcode Full = 0
Version = 0
Flags = 80 DO
質問:
- これが潜在的に危険な要求である理由を誰かが説明していますか?
(3)dev(4)null(0)リクエストの一部?
(現在、このリクエストが送信される理由はわかりません。スーパーユーザーに質問しました: DNSクエリ「DomainServer.dom.local.dev.null」by QNAP NAS )
侵入検知と侵入防止は、多くの場合、ある種の行動分析です。ソフォスは、既知のマルウェアなどの実際の悪意のあるアクティビティを認識しませんが、悪意のあるアクティビティに関連している可能性のあるものを検出します。
あなたの場合、ソフォスは.nullのDNSクエリを確認しており、このTLDがスパマーまたはその他の悪意のある攻撃者に接続されている可能性が高いと想定している可能性があります。 .topまたは.mlでも同じことが起こります。これらのTLDで警告メッセージが表示されることがよくあります。訪問したサイトは本物で悪意のないものですが、私が読んだ限りでは、マルウェア、スパム、c&cサーバーなどに接続して使用されることがよくあります。
表記について(12)NameOfServer(3)dom(5)local(3)dev(4)null(0)-これは、WindowsDNSサーバーがクエリをログに記録する表記のみです。詳細については、 このServerFaultの回答 を参照してください。
編集:要求に応じて、今日からの最新のエントリであるソフォスのログの例を次に示します。 (機能-クライアントは私のものであり、TLDは。glue...):
2019:01:23-12:59:29 gate-1 snort[15859]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="INDICATOR-COMPROMISE suspicious .glue dns query" group="241" srcip="[client-ip-address]" dstip="[dns-server-address]" proto="17" srcport="53831" dstport="53" sid="48713" class="Misc activity" priority="3" generator="1" msgid="0"
Windows DNSログエントリを提供できません-数週間前にこれらのメッセージを調査していて、ログを1日間有効にしましたが、通常は無効にしています。
また、なぜこのメッセージが表示されるのかをもう一度考えていました-NASのどこかにネットワーク構成があります(おそらくNAS自体またはインストールされたアプリ)誰か(.dev.nullなのでLinux管理者に賭けます...)が実際のデータを入力したくないので、彼はいくつかの偽のDNSホスト名を入力しました。