W

zależności od przeczytanego raportu możemy dowiedzieć się, że szkodliwe oprogramowanie (ang. malware) w 80 – 90% przypadków używa systemu DNS (ang. Domain Name System) do prowadzenia swoich kampanii. Z kolei 68% (stan na 2016 rok) organizacji nie monitoruje swoich rekursywnych systemów DNS. Jakiś czas temu pokazałem jak łatwo zaimplementować mechanizm RPZ (ang. Response Policy Zones) w serwerze ISC BIND, aby automatycznie blokować domeny pochodzące z projektu CERT Polska. Co w przypadku, gdybyśmy chcieli mieć więcej takich źródeł?

Dlaczego IOC to RPZ? IOC (ang. Indicators of Compromise), czyli wskaźniki kompromitacji to fragmenty danych w informatyce śledczej i cyberbezpieczeństwie, które identyfikują potencjalnie złośliwą aktywność w systemie lub sieci. Pomagają one w wykrywaniu naruszeń danych, infekcji złośliwym oprogramowaniem lub innych zagrożeń. Monitorując wskaźniki można wykrywać ataki i szybko podejmować działania w celu zapobiegania lub ograniczania szkód na ich wcześniejszych etapach. Można porównać je do okruchów chleba, które prowadzą do potencjalnego szkodnika, który chwycił kromkę i zaczął ją konsumować w ukryciu. Takie nietypowe działania to czerwone flagi wskazujące na potencjalny lub trwający atak. W przypadku systemów DNS są to oczywiście określone domeny, które są wykorzystywane do phishingu, dystrybucji szkodliwych plików lub komunikacji z serwerami C&C służącymi do zarządzania zainfekowanymi systemami.

Wraz za serwerem BIND obsługa RPZ pojawiła się w innych popularnych serwerach DNS: PowerDNS, Knot czy Unbound. W porównaniu z tradycyjnymi rozwiązaniami do ochrony sieci serwery DNS mogą obsługiwać miliony wpisów bez wpływu na wydajność. Bez mechanizmu RPZ nie było zautomatyzowanego i wydajnego sposobu na utrzymanie stref zawierających domeny, które miałyby zostać zablokowane lub przekierowane na odpowiedni serwer WWW. Zazwyczaj IOC są rozpowszechniane w postaci zwykłego tekstu, ale w różnych formatach i tylko kilku dostawców udostępnia je za pośrednictwem RPZ. Aby zaadresować ten problem Vadim Pavlov zaprezentował na konferencji BlackHat w 2020 roku projekt o nazwie ioc2rpz. Jest to niestandardowy serwer DNS, który automatycznie konwertuje wskaźniki kompromitacji (np. złośliwe nazwy FQDN, adresy IP) z różnych (gotowych lub własnych) źródeł na strefy RPZ i automatycznie je aktualizuje. W celu uniknięcia różnego rodzaju wpisów false/positive z innych list może dodać nasze zaufane domeny i adresy IP do białych list. Tak stworzone kanały mogą być dystrybuowane do dowolnych serwerów DNS w naszej sieci firmowej lub domowej.

ioc2rpz.net to również portal społecznościowy, który umożliwia zarejestrowanym użytkownikom na wypróbowanie kilku bezpłatnych źródeł (np. Netlab 360, Notracking, The Block List Project, Cyber Threat Coalition, URLhaus, Phishtank, Team Cymru) do nakarmienia własnej zapory DNS.

Więcej informacji: Tool that turns Domain Name System into a security layer unveiled at Black Hat 2020