异常大的 DNS 响应
编辑异常大的 DNS 响应
编辑特制的 DNS 请求可以操纵某些 Windows DNS 服务器中已知的溢出漏洞,从而导致远程代码执行 (RCE) 或通过使服务崩溃而造成拒绝服务 (DoS)。
规则类型: 查询
规则索引:
- packetbeat-*
- filebeat-*
- logs-network_traffic.*
严重性: 中
风险评分: 47
运行频率: 5 分钟
搜索索引起始时间: 无(日期数学格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考资料:
- https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/
- https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/
- https://github.com/maxpl0it/CVE-2020-1350-DoS
- https://elastic.ac.cn/security-labs/detection-rules-for-sigred-vulnerability
标签:
- 使用案例:威胁检测
- 战术:横向移动
- 资源:调查指南
- 使用案例:漏洞
版本: 105
规则作者:
- Elastic
规则许可证:Elastic License v2
调查指南
编辑分类和分析
调查异常大的 DNS 响应
此规则的检测警报表明可能存在来自 Windows DNS 服务器的大字节 DNS 响应相关的异常活动。此检测规则是基于 2020 年 7 月期间利用漏洞 (CVE-2020-1350)(也称为 SigRed)所表示的活动而创建的。
可能的调查步骤
- 此特定规则来源于网络日志活动,例如 DNS 或网络级别数据。验证传入流量的来源,并确定此活动是否之前在环境中观察到,这一点非常重要。
- 可以通过查看任何相关的入侵检测签名 (IDS) 警报来进一步调查和验证活动。
- 进一步的检查可以包括使用协议分析器(例如 Zeek、Packetbeat 或 Suricata)查看
dns.question_type网络字段集,以获取SIG或RRSIG数据。 - 验证目标 DNS 服务器的补丁级别和操作系统,以验证观察到的活动并非大规模的互联网漏洞扫描。
- 验证网络活动的来源不是来自授权的漏洞扫描或妥协评估。
误报分析
- 根据此规则(查找 60k 字节的阈值),可能会在 65k 字节以下生成与合法行为相关的活动。在 SANS Internet Storm Center 收到的数据包捕获文件中,观察到的字节响应均大于 65k 字节。
- 此活动可以由合规性/漏洞扫描或妥协评估触发;确定活动来源并潜在地将来源主机列入允许列表非常重要。
相关规则
- dns.exe 的异常子进程 - 8c37dc0e-e3ac-4c97-8aa0-cf6a9122de45
- dns.exe 的异常文件修改 - c7ce36c0-32ff-4f9a-bfc2-dcb242bf99f9
响应和补救
规则查询
编辑(event.dataset: network_traffic.dns or (event.category: (network or network_traffic) and destination.port: 53)) and (event.dataset:zeek.dns or type:dns or event.type:connection) and network.bytes > 60000
框架:MITRE ATT&CKTM
-
战术
- 名称:横向移动
- ID:TA0008
- 参考 URL:https://attack.mitre.org/tactics/TA0008/
-
技术
- 名称:利用远程服务
- ID:T1210
- 参考 URL:https://attack.mitre.org/techniques/T1210/