SANTA CLARA, Kaliforniya, 20 Nisan 2023 /PRNewswire/ — Gelişmiş performans ve koruma için basitleştirilmiş, bulut özellikli bir ağ ve güvenlik platformu sunan Infoblox Inc. tehdit raporu Blog DNS komut ve denetimine (C2) sahip bir uzaktan erişim truva atı (RAT) araç takımında. Araç seti, ABD’deki kurumsal ağlarda gözlemlenen anormal bir DNS imzası oluşturdu. Avrupa, Güney AmerikaVe Asya teknoloji, sağlık, enerji, finans ve diğer sektörlerde. Bu iletişimlerden bazıları bir denetleyiciye gider. Rusya.
“Yedek Köpek” icat edildi Infoblox’un Tehdit İstihbarat Grubu bu araç setini ilk keşfeden kişiydi ve bu etkinliği bozmak, saldırı vektörünü belirlemek ve küresel ağları güvenli hale getirmek için diğer güvenlik sağlayıcıları ve müşterilerle işbirliği yapıyor. Kritik içgörü, zaman içinde ölçülen DNS anormalliklerinin yalnızca RAT’ı ortaya çıkarmakla kalmayıp, sonuçta görünüşte bağımsız C2 iletişimlerini birbirine bağladığıdır. Infoblox’un bulgularının teknik bir analizi Burada.
Infoblox’un Tehdit İstihbaratı Kıdemli Direktörü Renée Burton, “Decoy Dog, güçlü ve koruyucu bir DNS stratejisine sahip olmanın önemini net bir şekilde hatırlatıyor” dedi. “Infoblox, DNS’deki tehditleri tespit etmeye, saldırıları başlamadan önce durdurmaya ve müşterilerin kendi işlerine odaklanmasına olanak sağlamaya odaklanmıştır.”
DNS tabanlı özel bir güvenlik satıcısı olarak Infoblox, düşman altyapısını izler ve şüpheli etkinliği tehdit yaşam döngüsünün başlarında, “ödün verme niyetinin” olduğu yerlerde ve gerçek saldırı başlamadan önce görebilir. şüpheli olarak kabul edilenler, kendilerini yeni ve gelişmekte olan tehditlere karşı önceden korumalarına yardımcı olmak için doğrudan müşterilere yönelik Infoblox’un Şüpheli alan beslemelerine dahil edilir.
Tehdit Keşfi, Anatomi ve Azaltma:
- Infoblox, erken dönemde birden çok kurumsal ağda etkin olan uzaktan erişim trojeni (RAT) Pupy’den etkinlik keşfetti Nisan 2023. Bu C2 iletişimi o zamandan beri keşfedilmedi. Nisan 2022.
- RAT, sınırlı ağlarda ve güvenlik duvarları gibi ağ cihazlarında anormal DNS etkinliğinden algılandı; dizüstü bilgisayarlar veya mobil cihazlar gibi kullanıcı cihazları değil.
- RAT, DNS’de tek başına tespit edilmesi son derece zor olan ancak Infoblox’un BloxOne® gibi küresel bir bulut tabanlı koruyucu DNS sisteminde analiz edildiğinde bir ayak izi oluşturur. Tehdit Savunması, güçlü aykırı davranış gösterir. Ayrıca, Infoblox’un farklı etki alanlarını birbirine bağlamasına izin verdi.
- C2 iletişimleri DNS üzerinden yapılır ve Pupy adlı açık kaynaklı bir RAT’a dayanır. Bu açık kaynaklı bir proje olsa da, sürekli olarak ulus-devlet aktörleriyle ilişkilendirilmiştir.
- Koruyucu DNS’ye sahip kuruluşlar risklerini azaltabilir. BloxOne Threat Defense müşterileri bu şüpheli etki alanlarından korunur.
- Bu durumda, Rus C2 alan adları, 2022 sonbaharında BloxOne Threat Defense’deki (Gelişmiş) Şüpheli alan akışlarına zaten dahil edilmişti.
- Infoblox, kuruluşları aşağıdaki etki alanlarını engellemeye teşvik etmeye devam ediyor:
- claudfront.net
- izin verilenler listesine alınmış.net
- atlas-upd.com
- ads-tm-glb.tıklayın
- cbox4.ignorelist.com
- hsdps.cc
Burton, “DNS düzeyinde her gün binlerce şüpheli etki alanını otomatik olarak tespit etsek de ve bu düzeyde bir korelasyonla, bu etkinliklerin tamamının komuta ve kontrol için DNS’den yararlanan aynı araç setinden kaynaklandığını keşfetmek nadirdir,” diye ekledi Burton.
Infoblox ekibi, DNS etkinliğini anlamak için gece gündüz çalışıyor. Bunun gibi karmaşık problemler, herkesin bir tehdidin tüm kapsamını anlamaya katkıda bulunduğu, sektör çapında derinlemesine istihbarat stratejisine olan ihtiyacı vurgular.
başlıklı tam tehdit özeti için “Köpek Avı: Anormal DNS Trafiği Yoluyla Tuzak Köpek Araç Seti Bulma” tıklamak Burada.
Infoblox’un Tehdit İstihbarat Grubu Hakkında:
Infoblox’taki Tehdit İstihbarat Grubu, BloxOne Tehdit Savunmasında kullanılmak üzere yüksek doğrulukta “engelle ve unut” alan adı hizmeti (DNS) istihbarat verileri oluşturmaya kendini adamıştır. Infoblox’un koruma stratejisinin özü, şüpheli etki alanlarının tanımlanmasıdır. Infoblox’un Tehdit İstihbarat Grubu, kurumsal kesinti riskini en aza indirirken tehditlere karşı maksimum kapsama alanı sağlamak için patentli bir makine öğrenimi algoritması kullanır. Infoblox, şüpheli etki alanlarını birkaç özel olarak oluşturulmuş algoritmalar ve DNS tabanlı tehdit avı.
Kuruluş, DNS ve altyapı aktörlerine odaklanmaktadır. Ekip, şüpheli davranışı, endüstrinin bitişik alanları (uç nokta, netflow satıcıları) tarafından etkisi bilinmeden önce belirleyebilir ve müşterilerimiz için bir sorun haline gelmeden önce DNS altyapılarını engellemek için ısrarcı aktörleri izleyebilir. Tehdit aktörleri genellikle alan adlarını saldırılar için kullanmadan çok önce, genellikle 14-120 gün önceden kaydederler, ancak etki alanlarının iki yıldan fazla bir süre uykuda tutulduğunu gördük – bu örnekte olduğu gibi.
Bilgi Bloğu Hakkında
Infoblox, benzersiz performans ve koruma sağlamak için ağ ve güvenliği birleştirir. Fortune 100 şirketleri ve gelişmekte olan yenilikçiler tarafından güvenilen, gerçek zamanlı görünürlük ve ağınıza kimin ve neyin bağlandığı konusunda kontrol sağlıyoruz, böylece kuruluşunuz daha hızlı çalışıyor ve tehditleri daha önce durduruyor. Ziyaret etmek bilgiblox.comveya bizi takip edin LinkedIn veya twitter.