异常大的 DNS 响应
编辑异常大的 DNS 响应编辑
特殊构造的 DNS 请求可以操纵某些 Windows DNS 服务器中已知的溢出漏洞,从而导致远程代码执行 (RCE) 或因服务崩溃而导致的拒绝服务 (DoS)。
规则类型:查询
规则索引:
- packetbeat-*
- filebeat-*
- logs-network_traffic.*
严重性:中等
风险评分: 47
运行频率:5 分钟
每次执行的最大警报数: 100
参考:
- https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/
- https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/
- https://github.com/maxpl0it/CVE-2020-1350-DoS
- https://elastic.ac.cn/security-labs/detection-rules-for-sigred-vulnerability
标签:
- 用例:威胁检测
- 战术:横向移动
- 资源:调查指南
- 用例:漏洞
版本: 105
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
调查指南编辑
分类和分析
调查异常大的 DNS 响应
此规则的检测警报表明 Windows DNS 服务器周围可能存在关于大字节 DNS 响应的异常活动。此检测规则是根据 2020 年 7 月期间漏洞 (CVE-2020-1350)(也称为 SigRed)利用中表现出的活动创建的。
可能的调查步骤
- 此特定规则来源于网络日志活动,例如 DNS 或网络级别的数据。验证传入流量的来源并确定之前是否在环境中观察到此活动非常重要。
- 可以通过查看任何相关的入侵检测签名 (IDS) 警报来进一步调查和验证活动。
- 进一步检查可以包括使用协议分析器(例如 Zeek、Packetbeat 或 Suricata)查看
dns.question_type网络字段集中的SIG或RRSIG数据。 - 验证目标 DNS 服务器的补丁级别和操作系统,以验证观察到的活动不是大规模互联网漏洞扫描。
- 验证网络活动的来源不是来自授权的漏洞扫描或入侵评估。
误报分析
- 根据此规则(查找 60k 字节的阈值),活动可能在 65k 字节以下生成并且与合法行为相关。在 SANS 互联网风暴中心 接收到的数据包捕获文件中,观察到的字节响应都大于 65k 字节。
- 此活动可以由合规性/漏洞扫描或入侵评估触发;确定活动的来源并可能将源主机列入白名单非常重要。
相关规则
- dns.exe 的异常子进程 - 8c37dc0e-e3ac-4c97-8aa0-cf6a9122de45
- dns.exe 的异常文件修改 - c7ce36c0-32ff-4f9a-bfc2-dcb242bf99f9
响应和修复
规则查询编辑
(event.dataset: network_traffic.dns or (event.category: (network or network_traffic) and destination.port: 53)) and (event.dataset:zeek.dns or type:dns or event.type:connection) and network.bytes > 60000
框架:MITRE ATT&CKTM
-
战术
- 名称:横向移动
- ID:TA0008
- 参考网址:https://attack.mitre.org/tactics/TA0008/
-
技术
- 名称:远程服务利用
- ID:T1210
- 参考网址:https://attack.mitre.org/techniques/T1210/