АЛГОРИТМ ОБНАРУЖЕНИЯ DNS-ТУННЕЛИРОВАНИЯ НА ОСНОВЕ ГЕНЕРАЦИИ ПРАВИЛ SIEM-СИСТЕМ

АННОТАЦИЯ

Целью данной статьи является разработка алгоритма для обнаружения вредоносной активности в DNS трафике. В статье была проанализирована активность во время атак типа DNS-туннелирование и даны практические рекомендации по возможностям детектирования ее. Актуальность данной статьи обусловлена эффективностью данного типа атак на любую инфраструктуру предприятия, а также отсутствием во множестве компаний специализированных СЗИ для своевременного детектирования в связи с их дороговизной. Данная статья может быть использована при работе аналитиков SOC, осуществляющих мониторинг аномальной активности. Позволит уменьшить риски возникновения данного типа атак, при отсутствии контроля средствами IDS.

Ключевые слова: Защита информации, SIEM, DNS-туннелирование, энтропия, корреляция.

В последнее время наблюдается рост числа инцидентов информационной безопасности в критических инфраструктурах, с этим связано количество утечек конфиденциальных данных. В большинстве случаев организация не имеет представления о том, что внутри уже инфраструктуры находится скрытый канал связи. [1] Такие фреймворки, как Cobalt Strike используют протокол DNS для атак. При этом стандартные средства защиты, как NTA, NGFW или IPS, не могут обеспечить защиту от данного типа атак. Из-за этих особенностей киберпреступника пользуются DNS‑туннелями. Они позволяют преступникам: разведывать инфраструктуру, создавать каналы для утечки конфиденциальных данных, дистанционно управлять вредоносным ПО, удаленно выполнять произвольный код. [2]

Алгоритм детектирования будет следующий.

Sysmon включает функцию ведения журнала DNS-запросов для сбора журналов DNS-запросов с хостов. Эти события генерируются, когда процесс выполняет DNS-запрос, независимо от того, является ли результат успешным или неудачным, кэшируется он или нет.

Собирая события, создаваемые с помощью коллекции событий Windows или агентов SIEM, а затем анализируя их, можно определить вредоносные или аномальные действия и понять, как злоумышленники и вредоносные программы работают в вашей сети. В зависимости от того, как настроен Sysmon, вы также можете установить дополнительные правила в файле конфигурации для Sysmon в отношении события с кодом 22: DNS-Event (DNS-запрос). Это желательно из-за шумного характера событий такого типа. [3]

Потребуются дополнительные настройки:

1.Настроить правила исключающие обратные DNS запросы.

2.Реализовать исключения доменов, используемых в песочнице, например localhost.

3.Исключить все популярные известные домены Google^*, Yandex, а также CDN.

4.Исключить известие сервисы показа рекламы на сайтах.

Пример события:

Log Name:       Microsoft-Windows-Sysmon/Operational

Source:         Microsoft-Windows-Sysmon

Date:           4/15/2021 1:07:01 PM

Event ID:       22

Task Category: Dns query (rule: DnsQuery)

Level:          Information

Keywords:     

User:           SYSTEM

Computer:       w19-ex-111.Win2019.local

Description: Dns query:

RuleName: -

UtcTime: 2021-04-15 20:06:58.876

ProcessGuid: {ff9115ad-7aff-6078-4000-000000002c00}

ProcessId: 3292

QueryName: w19-sc-114.win2019.local

QueryStatus: 0

QueryResults: ::ffff:10.42.1.114;

Image: C:\Program Files\Supercharger Controller\Mtg.Supercharger.ControllerService.exe [4]

Для настройки правил корреляции, потребуется осуществить сбор данных для SIEM.

Логика правила корреляции выстраивается на детектировании аномальной активности одного домена с одного хоста. Количество запросов в минуту при активном DNS туннеле находится от 50 до 200. А подсчет событий будем осуществлять по домену второго уровня, так как видно на примере ниже, генерируемая вредоносная часть доменов начинается с домена третьего уровня.    

Рисунок 1. Логи DNS туннеля в SIEM

Логика заключается в том, чтобы за одну минуту найти аномальный всплеск активности DNS трафика. Для этого с помощью локальных переменных SIEM системы потребуется обрезать каждый полный DNS запрос, до запроса второго уровня домена.

Конечно, используя только запросы по домену второго уровня, количество срабатываний правил будет большим. Потребуется грамотная фильтрация известных доменов, так же имеющих большую популярность внутри организации. Разбор каждого такого инцидента будет проходить аналитиками SOC (Security Operation Center). И чтобы минимизировать ложные срабатывания требуется сделать дополнительную проверку.

Так как мы видим, что домен третьего уровня выглядит не обычно это будет основным патерном нашей проверки.

Алгоритм запуска поэтапной проверки требует подсчета длины доменов 3 и выше уровней, в среднем легитимный домен третьего уровня не будет длиннее 5-7 символов. Как видно на нашем примере эта длина равна 11 символам.

Установим три этапа проверки, если два из трех этапов положительные тогда можно считать инцидент DNS туннелем

Вторым этапом проверки будет сравнение поддоменов со словарем. В данном случае нет смысла сравнивать со словарем домен первого уровня, поэтому сравнение будет происходить только доменов выше второго уровня. Данная проверка позволит нам установить, какие домены могут выглядеть, как сгенерированные домены и таким образом отсеять легитимные запросы.

Третий этап проверки, подсчет энтропии символов в поддомене 3 уровня и выше.

Энтропия — это мера неопределенности источника сообщений. При вероятностном подходе состояние источника информации характеризуется неопределенностью. Неопределенность снижается при приеме сообщения, т.е. получении информации. Поэтому получаемая информация, приходящаяся в среднем на один символ источника сообщений, количественно определяет степень уменьшения неопределенности.

Информационная энтропия — это мера вариаций компонентов,

которые составляют сообщение. Предлагаемый метод вычисляет энтропию

байтов, составляющих уровень пакета или значение поля, следующим образом:

                                                                                (1)

где p(xi) — вероятность появления определенного байта,

n —количество вхождений байтов.

Гипотеза, лежащая в основе использования энтропии, заключается в том, что пакеты запросов в потоке протокола имеют определенное распределение энтропии. [5]

Энтропия может находиться в значении от 0 до 1. Энтропия равная или возможны значения больше 1 будет означать, что уровень беспорядка крайне высок. Энтропия равна нулю, если неопределенности нет.

Использую пример, приведенный выше, получим, что уровень энтропии в домене 3 уровня, имеет значение близкое к единице. Исходя из выделенных нами критериев, данный DNS туннель удалось детектировать бы по всем критериям. Преимущества, которые дает данный метод очевидны. Для борьбы с DNS туннелированием нам не требуются специализированные средства и постоянный анализ сетевого трафика. Если в компании уже реализовано средство защиты класс SIEM его будет достаточно. Потребуется осуществить логирование по средствам Sysmon или стандартных событий Windows. Данный способ будет экономически выгоден и является высокоэффективным в рамках организации с большим количеством событий.

Список литературы:

1. Блог Varonis Systems, что такое DNS-туннелирование? Инструкция по обнаружению. URL: https://habr.com/ru/companies/varonis/articles/513160/(Дата обращения 19.04.2024)
2. Михаил Фирстов, Андрей Скуратов, Сергей Мигалин, Лазейки под фаерволом. URL: https://xakep.ru/2018/09/07/dns-tunneling/#toc02(Дата обращения 19.04.2024)
3. Аудит DNS запросов клиентов в Windows Server, логи DNS. URL: https://winitpro.ru/index.php/2021/04/29/audit-dns-zaprosov-klientov-v-windows-server-logi-dns/(Дата обращения 20.04.2024)
4. Sysmon Event ID 22. URL:https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=90022(Дата обращения 20.04.2024)
5. Блог OTUS, Энтропия: как Деревья Решений принимают решения. URL: https://habr.com/ru/companies/otus/articles/502200/ (Дата обращения 20.04.2024)

^*(По требованию Роскомнадзора информируем, что иностранное лицо, владеющее информационными ресурсами Google является нарушителем законодательства Российской Федерации – прим. ред.)