Detectando e prevenindo ações de malware/botnet

Uma das funcionalidades do NxFilter é permitir a detectção e bloquear atividades de malware/botnets analisando os pacotes DNS. Na realidade malware e botnets são outro tipo de cliente de rede ou programas. Isso significa que eles também dependem consideravelmente do protocolo DNS para se comunicar com seus controladores ou vítimas.

Por exemplo, se você tem um robô spammer na sua rede ele fará diversas consultas DNS sobre registros MX buscando seus alvos para enviar emails. Porém, normalmente seu PC não precisa fazer consultas sobre quem são os servidores MX a menos que você tenha um servidor de email rodando nessa máquina.

Outro exemplo poderia ser botnets usando os registros ‘TXT’ ou outros registros DNS como ferramentas de comunicação.

Esses são exemplos que ocorrem rotineiramente.

ex1) Trojan.Spachanel usava registros SPF.

ex2) W32.Morto usava registros TXT.

Outra método seria detectar tamanhos anormais de domínios. Quando testamos os 100.000 domínios mais acessados ( segundo a Alexa ) todos os domínios - exceto por 142 deles - tinham menos de 30 caracteres. Mas existem domínios anômalos tentando acessar algumas URLs de um site qualquer. Um exemplo disso seria o www.phishtank.com que tenta acessar páginas do www.ebay.co.uk mas atualmente ele é um domínio phishing.

ex1) cgi.ebay.co.uk-item-css.ebay-motors.session.id-sj3mzbasf3k12z581668115.login-wpadmin-sw.buyitnow.sign-in.secure-process657943sddh53zix34235hj65rj.xml.config-page.overview.buyer-protection-jsp.wpcs.spiridus-magic.org

Então a detecção de botnet/malware analisando os pacotes DNS vem a ser uma técnica bem eficaz. NxFilter provê a possibilidade de ativar esses bloqueios através da configuração de suas políticas.

  • Max Domain Length
  • Block Covert Channel
  • Block Mailer Worm
  • Block DNS Rebinding
  • Allow ‘A’ Record Only

Mas você pode dizer que a forma mais eficaz de se prevenir contra malware/botnets na sua rede seria permitir apenas consultas a registros ‘A’. Em muitos casos seus terminal não precisa consultar o DNS por outros tipos de registros que não sejam o ‘A’, ‘AAAA’, ‘PTR’ ou ‘CNAME’.