Le tunneling du système de noms de domaine (DNS) est une méthode courante pour les hackers d'exploiter le service DNS à des fins malveillantes, comme l'exfiltration de données sensibles d'une organisation ou l'infiltration de malwares. Cet article explique comment le moteur IPS dans le Cato Cloud protège votre réseau des attaques de malwares par tunneling DNS.
Lorsque vous configurez la politique IPS pour bloquer le trafic, cela active également les protections du Cato Cloud contre les attaques de tunneling DNS pour votre compte.
Le Cato Cloud analyse les requêtes DNS et identifie les attaques potentielles de tunneling DNS sur la base de ces propriétés :
-
Taille du paquet – La longueur des requêtes peut indiquer une communication anormale via DNS. Les paquets DNS volumineux sont anormaux et indiquent une attaque potentielle.
-
Type d’enregistrement – Les enregistrements de ressources (RR) qui associent des domaines à des adresses IP (comme les enregistrements A et AAAA) sont les plus courants dans l'utilisation du protocole DNS, mais ils sont limités à une courte longueur de réponse. Lors de l'échange de données via DNS, l'utilisation des RR peut varier pour permettre le transport de plus de données et peut indiquer une attaque.
-
Ratio unique – Les requêtes et réponses DNS qui transportent des informations encodées sont susceptibles d'être uniques. Lorsqu'il y a un niveau élevé de sous-domaines uniques dans une requête, cela peut indiquer une attaque.
Pour protéger les clients du tunneling DNS lié aux hackers malveillants, Cato utilise des algorithmes d'apprentissage automatique pour détecter les anomalies sur toutes les requêtes DNS sortantes. Le trafic DNS entre chaque site connecté au Cato Cloud et chaque domaine unique est analysé hors ligne sur une période de 24 heures. Les domaines avec une faible réputation qui reçoivent fréquemment des requêtes DNS anormales sont automatiquement enregistrés le jour suivant. Ensuite, la politique IPS pour tous les comptes peut bloquer le trafic DNS pertinent pour ces domaines.
En outre, Cato empêche l'exfiltration de données via le tunneling DNS en utilisant un ensemble d'heuristiques qui déclenchent l'IPS pour bloquer le trafic. Ces heuristiques ont été testées sur plusieurs outils et techniques de tunneling DNS. Cette prévention en temps réel est réalisée même sans connaître l'acteur de la menace ou le nom de domaine, et complète les algorithmes d'apprentissage automatique de Cato.
Vous pouvez réviser les événements de sécurité dans Accueil > Événements et trouver toutes les attaques de tunneling DNS dans votre compte que l'IPS a bloquées. Les événements IPS sont étiquetés avec le type de menace Tunneling DNS.
Si vous trouvez des événements de blocage pour le tunneling DNS, voici quelques étapes suggérées :
-
Isolez les hôtes infectés du réseau (dans les pare-feu WAN et Internet).
-
Corrigez les hôtes avec un logiciel anti-malware et de protection des endpoints.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.