Cisco Umbrella erkennt DNS-Anfragen als bösartig und es sieht so aus, als kämen sie von unserem Domänencontroller

Cisco Umbrella erkennt DNS-Anfragen als bösartig und es sieht so aus, als kämen sie von unserem Domänencontroller

Unser Cisco Umbrella-Dienst identifiziert DNS-Anfragen an rev1.globalrootservers.net und rev2.globalrootservers.net als bösartig. Ich versuche herauszufinden, ob dies wirklich ein Problem ist oder ob es sich um einen Fehlalarm handelt. Im Folgenden finden Sie alle Fehlerbehebungen, die ich durchgeführt habe.

Die einzigen Anzeichen für Bösartigkeit sind OpenDNS, das angibt, dass die Domäne globalrootservers.net Malware ist, und VirusTotal-Fortinet meldet auch Malware für rev2.globalrootservers.net. Alle Zeiger für die DNS-Namen von rev1 und rev2 verweisen derzeit auf 0.0.0.0 als IP.

Die passiven DNS-Einträge von otx.alienvault.com für globalrootservers.net (Abbildung 3) ändern sich von Zeit zu Zeit und IPs werden in verschiedene nicht vertrauenswürdige Domänen aufgelöst.

Da wir den Umbrella VA nicht bereitgestellt haben, habe ich den Cache geleert und die DNS-Protokollierung auf beiden Domänencontrollern aktiviert. Ich habe nur vom Domänencontroller 2016 Beweise für den DNS-Treffer erhalten. Nachdem die Anfrage und die Antwort (Abbildungen 1 und 2) über viele Tage hinweg mehrfach erfasst wurden, kam sie nie vom Domänencontroller 2012.Es sieht so aus, als ob die Quelle unser Domänencontroller 2016 ist, und ich kann nicht herausfinden, warum das so ist. Ich habe die Einträge unten eingefügt, falls mir jemand sagen kann, ob das richtig ist.

Abbildung 1: DNS-Anfrage
Bildbeschreibung hier eingeben

Abbildung 2: DNS-Antwort
Bildbeschreibung hier eingeben

Ich gehe dann zum 2016 Domain Controller Cache und schaue mir die Einträge an. Die Einträge aus dem In-Addr-Ordner sind unten. Kann mir jemand helfen zu verstehen, was das bedeutet?

Da die Einträge rev1.globalrootservers.net und rev2.globalrootservers.net die untergeordneten Einträge der DNS-Eltern sind (die auf afrinic.net, lacnic.net, apnic.net, ripe.net und arin.net hinweisen), besteht hier kein Grund zur Sorge?

Abbildung 3: Übergeordneter Cacheeintrag
Bildbeschreibung hier eingeben
Abbildung 4: Untereinträge Rev1 und Rev2
Bildbeschreibung hier eingeben
Abbildung 5: Eigenschaften von rev1 und rev2
Bildbeschreibung hier eingeben

Darüber hinaus verweist die Suche nach der IP-Adresse in den Eigenschaften des Caches von rev1 und rev2 auf Microsoft, eine Azure SQL Managed Instance im IP-Bereich 20.64.0.0/10.

Ich wäre für jede Hilfe sehr dankbar, die mir hilft, herauszufinden, ob es sich um ein echtes Problem handelt, eine Lösung zu finden oder meine Fehlersuche zu unterstützen. Vielen Dank!

Antwort1

Nach tagelangem Sammeln von Protokollen habe ich das Problem endlich gefunden. Die initiale Anfrage kommt von 85.93.20.247:8080. Die Firewall blockiert die Anfrage und versucht wenig später, eine umgekehrte Suche nach der IP durchzuführen. Sie kann nicht aufgelöst werden und landet schließlich bei Root-Hinweis-Resolvern auf unserem DNS-Server, die sie schließlich in rev1.globalrootservers.net und rev2.globalrootservers.net auflösen. Unser DNS-Server führt dann eine Suche nach den Domänen durch und OpenDNS kennzeichnet sie als Malware.

Um zu verhindern, dass so etwas noch einmal passiert, habe ich das Kontrollkästchen „Root-Hinweise verwenden, wenn keine Weiterleitungen verfügbar sind“ unter der Registerkarte „Weiterleitungen“ in den DNS-Eigenschaften deaktiviert, um die Verwendung der Root-Hinweise zu unterbinden. Wir möchten anstelle der Root-Hinweise nur OpenDNS und andere geprüfte DNS-Server verwenden. Wenn diese DNS-Weiterleitungen die Domäne nicht auflösen, möchten wir nicht, dass die Domäne aufgelöst wird.

verwandte Informationen