Sinkholing (Воронка)

DNS Sinkholing

DNS Sinkholing - это механизм, направленный на защиту пользователей путем перехвата DNS-запросов, пытающихся подключиться к известным вредоносным или нежелательным доменам, и возврата ложного, а точнее контролируемого IP-адреса. Контролируемый IP-адрес указывает на сервер поглотителя, определенный администратором поглотителя DNS.

Эта техника может быть использована для предотвращения подключения узлов к известным вредоносным направлениям, таким как C&C-сервер ботнета (ссылка на Infonote). Сервер Sinkhole можно использовать для сбора журналов событий, но в таких случаях администратор Sinkhole должен убедиться, что все записи ведутся в рамках закона и не нарушают конфиденциальность.

Синкхолинг может осуществляться на разных уровнях. Известно, что интернет-провайдеры и регистраторы доменов используют "воронки" для защиты своих клиентов, перенаправляя запросы на вредоносные или нежелательные доменные имена на контролируемые IP-адреса. Системные администраторы также могут установить внутренний сервер DNS sinkhole в инфраструктуре своей организации. Пользователь (с правами администратора) также может изменить файл host на своей машине и получить тот же результат. Существует множество списков (как с открытым исходным кодом, так и коммерческих) известных вредоносных доменов, которые администратор может использовать для заполнения DNS Sinkhole.

Помимо предотвращения вредоносных подключений, Sinkholing можно использовать для идентификации скомпрометированных узлов, анализируя журналы sinkhole и выявляя узлы, которые пытаются подключиться к известным вредоносным доменам. Например, если журналы показывают, что одна конкретная машина постоянно пытается подключиться к серверу C&C, но запрос перенаправляется из-за воронки, то велика вероятность того, что эта машина заражена ботом.

Из-за своих прямых последствий синкхолинг обычно проводится в особых условиях доверенными третьими лицами с привлечением правоохранительных органов.

Botnet Sinkhole

Botnet Sinkhole - это тактика, используемая специалистами по безопасности для перенаправления трафика вредоносного ботнета в резерв, где он анализируется и используется в качестве оружия против деятельности вредоносного бота или ботнета.

Когда боты или ботнет связываются со своим командно-контрольным сервером (C&C), его местоположение обнаруживается правоохранительными органами. Аналитики по безопасности перенаправляют DNS-трафик, предназначенный для оригинального сервера C&C, на поддельный сервер C&C, принадлежащий властям.

Синкхолинг - это нейтральная тактика, применяемая инженерами для перенаправления трафика в специально отведенное место, например, на сервер, настроенный для этой цели. В доброкачественном случае специалисты по безопасности, обнаружившие вредоносный трафик ботнета на своих ресурсах, могут перехватить трафик, чтобы начать защитные действия, например, нейтрализовать или уничтожить ботнет. Вредоносное поглощение часто принимает форму перенаправления хакерами желаемого веб-трафика с его предполагаемого места назначения, например, законного веб-сайта, чтобы лишить его получателя прибыли или самого трафика.

Ботнетные поглотители - это соединение поглощения и кибербезопасности, используемое теми, на кого возложена ответственность за пресечение растущей активности вредоносных ботнетов. Вредоносный код, изолированный в воронке, становится ресурсом инженеров по безопасности для анализа и адаптированных действий, которые правоохранительные органы предпринимают против ботнета.

Поделиться с друзьями
SEC-1275-1