Solicitações de DNS com maiúsculas e minúsculas - Malware na minha rede?

No final do dia, depois de investigar o problema, as VMs que fazem solicitações de DNS com maiúsculas e minúsculas são máquinas OpenBSD executando rebound, um proxy DNS usado no OpenBSD.

Além disso, parece que hoje em dia é uma prática comum rebound, Unbound, pydige Torfazer essas consultas de maiúsculas e minúsculas como medida de segurança.

Assim, as consultas não são resultado de malware neste caso.

Do uso de consultas de DNS com maiúsculas e minúsculas

Essas consultas parecem ser o resultado de servidores DNS que suportam um mecanismo de segurança DNS relativamente novo, "codificação de 0x20 bits". A abordagem recebeu esse nome por codificar um valor de bit usando letras maiúsculas e minúsculas. se o bit 0x20 for definido em um byte, a letra será minúscula. Se estiver desmarcada, a letra é maiúscula.

Os nomes de host não diferenciam maiúsculas de minúsculas. No entanto, o caso é mantido. A resposta usará o mesmo caso misto da consulta.

Acontece que quase todos os servidores DNS seguem esse comportamento. A parte nova é que agora alguns servidores DNS começam a codificar um valor aleatório em cada consulta que enviam e, em seguida, verificam se o valor é mantido na resposta. Isso, na verdade, adiciona bits adicionais ao ID da consulta.

Embora isso seja claramente um "hack", é bastante atraente. Se o seu servidor DNS oferecer suporte a esse recurso, ele ganhará automaticamente mais alguns bits de "resistência à falsificação". Os servidores DNS aos quais ele se conecta não precisam mudar nada. Ao contrário do DNSSEC, que é obviamente a correção real, mas requer um trabalho extenso para configurar e deve ser configurado para cada zona.

De calomel - Tutorial de DNS não consolidado

O que é randomização de capitalização dns-0x20?

A randomização de letras maiúsculas também é chamada de dns-0x20. Este é um método de resiliência experimental que usa letras maiúsculas e minúsculas no nome do host da pergunta para obter aleatoriedade. Em média, adicionando cerca de 7 ou 8 bits de entropia. Atualmente, esse método precisa ser ativado manualmente pelo administrador do DNS, pois pode resultar em talvez 0,4% dos domínios não obtendo respostas devido à falta de suporte no lado do servidor autoritativo. Em nosso segundo exemplo, habilitamos a diretiva "use-caps-for-id: yes" para melhor segurança usando dns-0x20.

Tudo isso significa que calomel.org é o mesmo que CaLOMeL.Org, que é o mesmo que CALOMEL.ORG. Quando o Unbound envia uma consulta para um servidor remoto, ele envia a string do nome do host em caracteres maiúsculos e minúsculos aleatórios. O servidor remoto deve resolver o nome do host como se todos os caracteres fossem minúsculos. O servidor remoto deve então enviar a consulta de volta para o Unbound nos mesmos caracteres maiúsculos e minúsculos aleatórios que o Unbound enviou. Se os caracteres do nome do host na resposta estiverem no mesmo formato da consulta, a verificação de DNS-0x20 será atendida.

Os invasores que desejam envenenar um cache de DNS não vinculado devem, portanto, adivinhar a codificação de maiúsculas e minúsculas da consulta e o tempo da resposta de DNS de retorno, além de todos os outros campos necessários em um ataque de envenenamento de DNS. dns-0x20 aumenta significativamente a dificuldade do ataque.

Pergunta relacionada: Chrome: solicitações de DNS com nomes de DNS aleatórios: malware?