客户 Sophos-UTM 报告Intrusion protection alert
警告INDICATOR-COMPROMISE suspicious .null dns query
:
2019:01:15-11:54:13 utm-ba snort[31619]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="INDICATOR-COMPROMISE suspicious .null dns query" group="241" srcip="192.168.0.1" dstip="192.168.0.254" proto="17" srcport="49445" dstport="53" sid="48666" class="Misc activity" priority="3" generator="1" msgid="0"
我们在域控制器上启用了 DNS 日志记录并获取了此数据。(名称已模糊处理)
来自域控制器的 DNS 日志
日志中的设备
- 192.168.0.1 = 域控制器(DomainServer.dom.local)
- 192.168.0.16 = QNAP NAS
- 192.168.0.254 = Sophos UTM
15.01.2019 11:53:39 2728 PACKET 000000E796562170 UDP Rcv 192.168.0.16 4c9e Q [0001 D NOERROR] AAAA (12)NameOfServer(3)dom(5)local(3)dev(4)null(0)
UDP question info at 000000E796562170
Socket = 556
Remote addr 192.168.0.16, port 56856
Time Query=533586, Queued=0, Expire=0
Buf length = 0x0fa0 (4000)
Msg length = 0x0031 (49)
Message:
XID 0x4c9e
Flags 0x0100
QR 0 (QUESTION)
OPCODE 0 (QUERY)
AA 0
TC 0
RD 1
RA 0
Z 0
CD 0
AD 0
RCODE 0 (NOERROR)
QCOUNT 1
ACOUNT 0
NSCOUNT 0
ARCOUNT 0
QUESTION SECTION:
Offset = 0x000c, RR count = 0
Name "(12)NameOfServer(3)dom(5)local(3)dev(4)null(0)"
QTYPE AAAA (28)
QCLASS 1
ANSWER SECTION:
empty
AUTHORITY SECTION:
empty
ADDITIONAL SECTION:
empty
15.01.2019 11:53:39 2728 PACKET 000000E7932A4220 UDP Snd 192.168.0.254 4eb1 Q [0001 D NOERROR] AAAA (12)NameOfServer(3)dom(5)local(3)dev(4)null(0)
UDP question info at 000000E7932A4220
Socket = 11688
Remote addr 192.168.0.254, port 53
Time Query=0, Queued=0, Expire=0
Buf length = 0x0fa0 (4000)
Msg length = 0x003c (60)
Message:
XID 0x4eb1
Flags 0x0100
QR 0 (QUESTION)
OPCODE 0 (QUERY)
AA 0
TC 0
RD 1
RA 0
Z 0
CD 0
AD 0
RCODE 0 (NOERROR)
QCOUNT 1
ACOUNT 0
NSCOUNT 0
ARCOUNT 1
QUESTION SECTION:
Offset = 0x000c, RR count = 0
Name "(12)NameOfServer(3)dom(5)local(3)dev(4)null(0)"
QTYPE AAAA (28)
QCLASS 1
ANSWER SECTION:
empty
AUTHORITY SECTION:
empty
ADDITIONAL SECTION:
Offset = 0x0031, RR count = 0
Name "(0)"
TYPE OPT (41)
CLASS 4000
TTL 32768
DLEN 0
DATA
Buffer Size = 4000
Rcode Ext = 0
Rcode Full = 0
Version = 0
Flags = 80 DO
问题:
- 有人能解释一下为什么这是一个潜在危险的请求吗?
- 是否只需完成
(3)dev(4)null(0)
请求中的部分内容?
(我们目前不知道为什么发送这个请求,我已经在超级用户上询问过了:QNAP NAS 的 DNS 查询“DomainServer.dom.local.dev.null”)
答案1
入侵检测和入侵预防通常是某种行为分析 - Sophos 看不到已知的恶意软件或类似的东西之类的真实恶意活动,但它看到可能与恶意活动有关的东西。
在您的情况下,Sophos 看到 .null 的 DNS 查询,并可能认为此 TLD 可能与垃圾邮件发送者或其他恶意攻击者有关。同样的事情也发生在 .top 或 .ml 上 - 我们经常收到有关这些 TLD 的警告消息。访问的网站是真实的和非恶意的,但据我所知,它们经常与恶意软件、垃圾邮件、c&c 服务器等有关。
关于符号 (12)NameOfServer(3)dom(5)local(3)dev(4)null(0) - 这只是 Windows DNS 服务器记录查询的符号。有关此内容的更多信息,请阅读这个 ServerFault 答案。
编辑: 根据要求,以下是我们的 Sophos 日志的一个示例,这是今天的最新条目(有趣的是 - 客户端是我的,TLD 是。胶水...):
2019:01:23-12:59:29 gate-1 snort[15859]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="INDICATOR-COMPROMISE suspicious .glue dns query" group="241" srcip="[client-ip-address]" dstip="[dns-server-address]" proto="17" srcport="53831" dstport="53" sid="48713" class="Misc activity" priority="3" generator="1" msgid="0"
我无法提供 Windows DNS 日志条目 - 几周前我正在调查这些消息并启用了日志一天,但通常我们会将其禁用。
另外,我再次思考您为什么会收到此消息 - 我敢打赌,在 NAS 的某个地方有一个网络配置(可能是 NAS 本身或已安装的应用程序),其中某人(因为它是 .dev.null,我敢打赌是 Linux 管理员......)不想输入真实数据,所以他输入了一些虚假的 DNS 主机名。