Merhaba, Roksit çözümünü dün inceleme fırsatım oldu. Şahsen aynı soruyu ben de kendime sordum fakat sonrasında "üye kurumların public iplerini" bidikleri için hangi DNS sorgusunun hangi kurumdan geldiğini rahatlıkla tespit edebileceklerini anladım.
Dolayısıyla, yapılan DNS sorgularını process eden bir sistem random generated bir DNS sorgusunu ayırt edebildiği sürece ki bu basit bir algoritma ile bile yapılabilir, sistem botnetleri tespit edebilir. Üretilen domain nameler legitimate görünen adresler bile olsa bir çoğu register edilmediği için bu da ayrı bir indicator olarak kullanılabilir. Velhasıl, sistemin çalışma mantığı ve kullanım kolaylığı çok hoşuma gitti. UX ile ilgili yorumlarımı ayrıca arkadaşlarla paylaşmak istedim. Roksit ekibinin başarılarının devamını diliyorum. -- Emre TINAZTEPE Lead Software Architect Zemana Ltd. USA: +1 650 265 7763 (Direct Line) Turkey: +90 312 219 5660 www.zemana.com 2016-10-29 23:51 GMT+03:00 Fatih Ekrem Genç <[email protected]>: > merhaba, > > dns tabanli bir çözümle botlari nasil tespit edebiliyorsunuz. > kac farkli agda test etme sansiniz oldu? > > On Oct 28, 2016 9:16 PM, "Erhan Yüksel" <[email protected]> wrote: > > Merhaba Arkadaşlar , > > Ülke genelini etkileyecek türde bu akşam itibariyle aktif olan bir zararlı > yazılım aktivitesini bildirmek için yazıyorum. > > Roksit DNS Firewall, botnet trafiğini tespiti konusunda DNS protokolünden > yararlanarak aktif veya pasif durumdaki botnetleri tespit edebilmektedir. > Zombi bilgisayarlar uyku modunda iken en kolay şekilde DNS analizi ile > tespit edilebilmektedir. Sebeplerini ekteki pdf dosyadan okuyabilirsiniz. > > Botnet komuta merkezleri zombi bilgisayarlara bir görev atayacağı zaman > bir kısmını uyandırıp gerekli işlemleri yaptıktan sonra > kapatabilmektediler. Fakat bugünki aktivite geçmiştekilerden farklı olarak > tüm müşterilerimizde aynı anda aynı komuta merkezine doğru bir aktivite > tespit ettik. > > Roksit kullanıcıları dışında da birçok kurumda benzer aktiviteler olduğunu > düşündüğümüz için olası büyük çaplı bir saldırının parçası olmamak veya > ulusal güvenliğimizi tehdit edecek bir saldırının önüne geçebilmek adına > tüm siber güvenlik alanındaki arkadaşları uyarmak istedik. > > Şuanda devam etmekte olan Botnet CC bağlantı talepleri aşağıdaki şekilde > görebilirsiniz. Domainlerin tespit edilip bloklanmasını engellemek için DGA > ile sürekli olarak domain üretmeye devam etmektedirler. Bu yüzden > domainleri tek tek bloklamak oldukça zahmetli bir yöntem olacaktır. Şuana > kadar 1000 den fazla domain üretilmiş, register edilmiş ve edilmeye devam > ediliyor. Fakat işin iyi tarafı tüm domainler aynı ip adresini > kullanıyorlar > > Ip adresi: 192.42.116.41 > > Roksit DNS Firewall müşterilerinin Malware/Virüs kategorisini bloklaması > yeterli olacaktır. > > Diğer arkadaşların mevcut Firewall ürününde hedef ip adresi 192.42.116.41 > bloklanmasi ve bağlantı kurmaya calışan bilgisayarların incelenmesini > tavsiye ediyoruz. > > > > > > > Siber Güvenlik Kış Kampı Başvuruları Açıldı! > > http://siberkamp.eventbrite.com/ > > > > Siber Güvenlik Kış Kampı Başvuruları Açıldı! > > http://siberkamp.eventbrite.com/ >
Siber Güvenlik Kış Kampı Başvuruları Açıldı! http://siberkamp.eventbrite.com/
