Cisco Umbrella は DNS リクエストを悪意のあるものとして識別し、ドメイン コントローラからのものであるように見えます

Cisco Umbrella は DNS リクエストを悪意のあるものとして識別し、ドメイン コントローラからのものであるように見えます

当社の Cisco Umbrella サービスは、rev1.globalrootservers.net および rev2.globalrootservers.net への DNS 要求を悪意のあるものとして識別しています。これが本当に問題なのか、それとも誤検知なのかを解明しようとしています。以下は、私が実行したすべてのトラブルシューティングです。

悪意のあることを示す唯一の指標は、OpenDNS が globalrootservers.net ドメインがマルウェアであると述べていることと、VirusTotal-Fortinet が rev2.globalrootservers.net についてもマルウェアであると報告していることです。rev1 および rev2 DNS 名のすべてのポインターは現在、IP として 0.0.0.0 を指しています。globalrootservers.net

の otx.alienvault.com パッシブ DNS エントリ (図 3) は時々変更され、IP はさまざまな信頼性のないドメインに解決されます。Umbrella

VA を展開していないため、両方のドメイン コントローラでキャッシュをクリアし、DNS ログをオンにしました。2016 ドメイン コントローラからのみ DNS ヒットの証拠を捉えました。数日間にわたってリクエストと応答 (図 1 と 2) を複数回キャプチャしましたが、2012 ドメイン コントローラーからのリクエストと応答はありませんでした。原因は 2016 年のドメイン コントローラーのようですが、その理由はわかりません。これが正しいとわかる方がいらっしゃれば、以下にエントリを記載します。

図1: DNSリクエスト
ここに画像の説明を入力してください

図2: DNS応答
ここに画像の説明を入力してください

次に、2016 ドメイン コントローラー キャッシュに移動してエントリを確認します。in-addr フォルダーのエントリは以下のとおりです。これが何を意味するのか理解するのを手伝ってくれる人はいませんか?

rev1.globalrootservers.net および rev2.globalrootservers.net エントリは DNS 親 (afrinic.net、lacnic.net、apnic.net、ripe.net、および arin.net を示す) の子であるため、心配する必要はありませんか?

図3:親キャッシュエントリ
ここに画像の説明を入力してください
図4: Rev1とRev2の子エントリ
ここに画像の説明を入力してください
図5: rev1とrev2のプロパティ
ここに画像の説明を入力してください

さらに、rev1 および rev2 キャッシュのプロパティにある IP アドレスを検索すると、20.64.0.0/10 IP 範囲内の Azure SQL Managed Instance である Microsoft を指します。

これが本当に問題なのか、解決策があるのか​​、あるいはトラブルシューティングをさらに進めるために、ご支援いただければ幸いです。ありがとうございます!

答え1

数日間のログ収集を経て、ようやく問題を発見しました。開始要求は 85.93.20.247:8080 から発生しています。ファイアウォールは要求をブロックし、しばらくしてから IP の逆引きを実行しようとします。解決できず、最終的に DNS サーバーのルート ヒント リゾルバーに送られ、最終的に rev1.globalrootservers.net と rev2.globalrootservers.net に解決されます。その後、DNS サーバーはドメインのルックアップを実行し、OpenDNS はそれをマルウェアとしてフラグ付けします。

このようなことが再び起こらないように、DNS プロパティのフォワーダー タブの下にある「フォワーダーが利用できない場合はルート ヒントを使用する」チェックボックスを無効にして、ルート ヒントの使用を禁止しました。ルート ヒントの代わりに、OpenDNS とその他の検証済みの DNS サーバーのみを使用するようにしたいのです。これらの DNS フォワーダーがドメインを解決しない場合は、ドメインを解決したくありません。

関連情報