异常大的 DNS 响应
编辑异常大的 DNS 响应
编辑精心设计的 DNS 请求可以利用某些 Windows DNS 服务器中已知的溢出漏洞,导致远程代码执行 (RCE) 或通过使服务崩溃导致拒绝服务 (DoS)。
规则类型: 查询
规则索引:
- packetbeat-*
- filebeat-*
- logs-network_traffic.*
严重性: 中等
风险评分: 47
每隔: 5 分钟
每次执行的最大告警数: 100
参考:
- https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/
- https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/
- https://github.com/maxpl0it/CVE-2020-1350-DoS
- https://elastic.ac.cn/security-labs/detection-rules-for-sigred-vulnerability
标签:
- 用例:威胁检测
- 战术:横向移动
- 资源:调查指南
- 用例:漏洞
版本: 105
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查异常大的 DNS 响应
此规则的检测警报表明 Windows DNS 服务器可能存在围绕大型字节 DNS 响应的异常活动。此检测规则是基于 2020 年 7 月期间利用漏洞 (CVE-2020-1350)(也称为 SigRed)表示的活动创建的。
可能的调查步骤
- 此特定规则源自网络日志活动,例如 DNS 或网络级数据。验证传入流量的来源并确定此活动是否以前在环境中观察到非常重要。
- 可以通过审查任何关联的入侵检测签名 (IDS) 警报来进一步调查和验证活动。
- 进一步检查可以包括使用协议分析器(例如 Zeek、Packetbeat 或 Suricata)审查
dns.question_type网络字段集,以获取SIG或RRSIG数据。 - 验证目标 DNS 服务器的补丁级别和操作系统,以验证观察到的活动是否不是大规模的互联网漏洞扫描。
- 验证网络活动的来源是否不是来自授权的漏洞扫描或妥协评估。
误报分析
- 根据此规则(查找 60k 字节的阈值),活动可能在 65k 字节以下生成,并且与合法行为相关。在 SANS 互联网风暴中心 收到的数据包捕获文件中,观察到所有字节响应都大于 65k 字节。
- 此活动可能由合规性/漏洞扫描或妥协评估触发;确定活动的来源并可能将源主机列入白名单非常重要。
相关规则
- dns.exe 的异常子进程 - 8c37dc0e-e3ac-4c97-8aa0-cf6a9122de45
- dns.exe 的异常文件修改 - c7ce36c0-32ff-4f9a-bfc2-dcb242bf99f9
响应和补救措施
规则查询
编辑(event.dataset: network_traffic.dns or (event.category: (network or network_traffic) and destination.port: 53)) and (event.dataset:zeek.dns or type:dns or event.type:connection) and network.bytes > 60000
框架: MITRE ATT&CKTM
-
战术
- 名称:横向移动
- ID:TA0008
- 参考网址:https://attack.mitre.org/tactics/TA0008/
-
技术
- 名称:远程服务利用
- ID:T1210
- 参考网址:https://attack.mitre.org/techniques/T1210/