主页 / server / 问题 / 949361
Accepted
marsh-wiggle
Asked: 2019-01-17 05:46:14 +0800 CST

可疑的 DNS 查询导致 Sophos UTM 出现“入侵保护警报”

  • 772

客户 Sophos-UTM 报告Intrusion protection alert警告INDICATOR-COMPROMISE suspicious .null dns query

2019:01:15-11:54:13 utm-ba snort[31619]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="INDICATOR-COMPROMISE suspicious .null dns query" group="241" srcip="192.168.0.1" dstip="192.168.0.254" proto="17" srcport="49445" dstport="53" sid="48666" class="Misc activity" priority="3" generator="1" msgid="0"

我们在域控制器上启用了 DNS 日志记录并获取此数据。(名字被混淆了)

从域控制器的 DNS 日志

日志中的设备

  • 192.168.0.1 = 域控制器 (DomainServer.dom.local)
  • 192.168.0.16 = QNAP NAS
  • 192.168.0.254 = Sophos UTM
15.01.2019 11:53:39 2728 PACKET  000000E796562170 UDP Rcv 192.168.0.16    4c9e   Q [0001   D   NOERROR] AAAA   (12)NameOfServer(3)dom(5)local(3)dev(4)null(0)
UDP question info at 000000E796562170
  Socket = 556
  Remote addr 192.168.0.16, port 56856
  Time Query=533586, Queued=0, Expire=0
  Buf length = 0x0fa0 (4000)
  Msg length = 0x0031 (49)
  Message:
    XID       0x4c9e
    Flags     0x0100
      QR        0 (QUESTION)
      OPCODE    0 (QUERY)
      AA        0
      TC        0
      RD        1
      RA        0
      Z         0
      CD        0
      AD        0
      RCODE     0 (NOERROR)
    QCOUNT    1
    ACOUNT    0
    NSCOUNT   0
    ARCOUNT   0
    QUESTION SECTION:
    Offset = 0x000c, RR count = 0
    Name      "(12)NameOfServer(3)dom(5)local(3)dev(4)null(0)"
      QTYPE   AAAA (28)
      QCLASS  1
    ANSWER SECTION:
      empty
    AUTHORITY SECTION:
      empty
    ADDITIONAL SECTION:
      empty

15.01.2019 11:53:39 2728 PACKET  000000E7932A4220 UDP Snd 192.168.0.254   4eb1   Q [0001   D   NOERROR] AAAA   (12)NameOfServer(3)dom(5)local(3)dev(4)null(0)
UDP question info at 000000E7932A4220
  Socket = 11688
  Remote addr 192.168.0.254, port 53
  Time Query=0, Queued=0, Expire=0
  Buf length = 0x0fa0 (4000)
  Msg length = 0x003c (60)
  Message:
    XID       0x4eb1
    Flags     0x0100
      QR        0 (QUESTION)
      OPCODE    0 (QUERY)
      AA        0
      TC        0
      RD        1
      RA        0
      Z         0
      CD        0
      AD        0
      RCODE     0 (NOERROR)
    QCOUNT    1
    ACOUNT    0
    NSCOUNT   0
    ARCOUNT   1
    QUESTION SECTION:
    Offset = 0x000c, RR count = 0
    Name      "(12)NameOfServer(3)dom(5)local(3)dev(4)null(0)"
      QTYPE   AAAA (28)
      QCLASS  1
    ANSWER SECTION:
      empty
    AUTHORITY SECTION:
      empty
    ADDITIONAL SECTION:
    Offset = 0x0031, RR count = 0
    Name      "(0)"
      TYPE   OPT  (41)
      CLASS  4000
      TTL    32768
      DLEN   0
      DATA   
        Buffer Size  = 4000
        Rcode Ext    = 0
        Rcode Full   = 0
        Version      = 0
        Flags        = 80 DO

问题:

  • 有没有人解释为什么这是一个潜在的危险请求?
  • 是否只应完成(3)dev(4)null(0)请求中的部分?

(我们目前不知道为什么会发送这个请求,我已经在 Superuser 上询问过:DNS 查询“DomainServer.dom.local.dev.null” by QNAP NAS

domain-name-system

1 个回答

  1. Best Answer

    入侵检测和入侵防御通常是某种行为分析——Sophos 看不到真正的恶意活动,如已知的恶意软件或类似的东西,但它看到的东西可能与恶意活动有关。

    在您的情况下,Sophos 看到 .null 的 DNS 查询,并可能假定此 TLD 可能与垃圾邮件发送者或其他恶意攻击者有关。.top 或 .ml 也会发生同样的情况 - 我们经常收到带有这些 TLD 的警告消息。访问的站点是真实的且非恶意的,但据我所知,它们通常用于连接到恶意软件、垃圾邮件、C&C 服务器等。

    关于符号 (12)NameOfServer(3)dom(5)local(3)dev(4)null(0) - 这只是 Windows DNS 服务器记录查询的符号。有关这方面的更多信息,请阅读此 ServerFault 答案

    编辑: 根据要求,这是我们的 Sophos 日志示例,这是今天的最新条目(有趣的 - 客户是我的,TLD 是.glue ...):

    2019:01:23-12:59:29 gate-1 snort[15859]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="INDICATOR-COMPROMISE suspicious .glue dns query" group="241" srcip="[client-ip-address]" dstip="[dns-server-address]" proto="17" srcport="53831" dstport="53" sid="48713" class="Misc activity" priority="3" generator="1" msgid="0"

    我无法提供 Windows DNS 日志条目 - 几周前我正在调查这些消息,并启用了一天的日志,但通常我们将其禁用。

    此外,我再次在思考为什么您会收到此消息 - 我敢打赌 NAS 上的某个地方有一个网络配置(可能是 NAS 本身或已安装的应用程序),其中有人(因为它是 .dev.null 我敢打赌 Linux admin...) 不想输入真实数据,所以他输入了一些虚假的 DNS 主机名。

    • 1

相关问题