Versionen im Vergleich

Alte Version 2

changes.mady.by.user Talos-Zens Alexander

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user Talos-Zens Alexander

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.
Kommentar: Migration of unmigrated content due to installation of a new plugin
HTML-Format
<style>
.wiki-content p {text-align:justify;}
.wiki-content {position:relative; left:60px; width:750px;}
</style>
Inhalt
maxLevel3
minLevel2
maxLevel3
typeflat

...

Passive DNS - Beispiel PDF-Exploit, Fake-Antivirus

Der Virus-Alarm

Als bei einem Kollegen am ZID der Uni Wien eine Viruswarnung erschien, war klar: Hier ist etwas schiefgelaufen. Aber was und wie?

...

Die naheliegende Maßnahme, Zugriffe auf die Quelle des PDF-Files zu blockieren oder wenigstens einen Alarm auszulösen, ist tags darauf daran gescheitert, daß die Domain tmi4.co.cc gesperrt war – und niemand hatte die IP-Adresse notiert. Durch die Domainsperre war die Gefahr keienswegs gebannt: Da es sich um eine Wegwerfdomain handelt, liegt es nahe, daß die selbe Schadsoftware unter neuem Namen weiter tätig ist.

Lösung mit pDNS

Codeblock

% CERT.at DNS replicator WHOIS server, version 0.2. Author: L. Aaron Kaplan <kaplan-at-cert.at>
%  (C) 2010 All rights reserved.
% returning 2 elements.
%
rr-name: tmi4.co.cc
rr-type: A
rr-address: 195.80.151.93
seen-first: 2011-02-08 11:23:59
seen-last: 2011-02-08 13:04:40
count-requested: 2

rr-name: tmi4.co.cc
rr-type: NS
rr-dname: its-blocked-domain.net
seen-first: 2011-02-08 16:24:06
seen-last: 2011-02-10 12:05:05
count-requested: 5

Die Abfrage der Domain beim pDNS-Server hat gleich zwei Fragen auf einen Schlag beantwortet:

...

  • wird diese IP-Adresse weiterhin verwendet? Unter welchen DNS-Namen?
  • gibt es auch legitime Anwendungen hinter dieser IP-Adresse oder kann diese guten Gewissens gesperrt oder als Alarm-Auslöser verwendet werden?
Codeblock

% CERT.at DNS replicator WHOIS server, version 0.2. Author: L. Aaron Kaplan <kaplan-at-cert.at>
%  (C) 2010 All rights reserved.
% returning 4 elements.
%
rr-name: af2t.cz.cc
rr-type: A
rr-address: 195.80.151.93
seen-first: 20110121.110749
seen-last: 20110121.110749
count-requested: 1

rr-name: asm1.co.cc
rr-type: A
rr-address: 195.80.151.93
seen-first: 20110208.104725
seen-last: 20110208.104725
count-requested: 1

rr-name: bey1.co.cc
rr-type: A
rr-address: 195.80.151.93
seen-first: 20110127.210648
seen-last: 20110127.210648
count-requested: 2

rr-name: tmi4.co.cc
rr-type: A
rr-address: 195.80.151.93
seen-first: 20110208.112359
seen-last: 20110208.130440
count-requested: 2

Damit ist Damit ist ziemlich klar: Die IP-Adresse wird nach dem selben Strickmuster nachhaltig "bewirtschaftet". QED.

Download

Folien zum Vortrag Ein harmloses(?) PDF-File und was passive DNS für uns tun kann, gehalten beim 23. Treffen der ArgeSecur am 29. April 2011.