Cisco Umbrella 서비스는 rev1.globalrootservers.net 및 rev2.globalrootservers.net에 대한 DNS 요청을 악성으로 식별합니다. 나는 이것이 정말로 문제인지 아니면 거짓 긍정인지 알아내려고 노력하고 있습니다. 다음은 제가 수행한 모든 문제 해결입니다.
악의적임을 나타내는 유일한 지표는 globalrootservers.net 도메인이 악성 코드임을 나타내는 OpenDNS이며 VirusTotal-Fortinet은 rev2.globalrootservers.net에 대해서도 악성 코드를 보고하고 있습니다. rev1 및 rev2 DNS 이름에 대한 모든 포인터는 현재 IP로 0.0.0.0을 가리킵니다.
globalrootservers.net(그림 3)에 대한 otx.alienvault.com 수동 DNS 항목은 수시로 변경되며 IP는 평판이 좋지 않은 다양한 도메인으로 확인됩니다.
Umbrella VA가 배포되어 있지 않기 때문에 캐시를 지우고 두 도메인 컨트롤러 모두에서 DNS 로깅을 켰습니다. 2016년 도메인 컨트롤러에서만 DNS 공격의 증거를 포착했습니다. 며칠에 걸쳐 여러 번 요청과 응답(그림 1 및 2)을 캡처한 후에는 2012 도메인 컨트롤러에서 해당 정보가 나오지 않았습니다.소스가 2016년 도메인 컨트롤러인 것 같은데 왜 그런지 알 수 없습니다. 누군가 이것이 정확하다고 말할 수 있는 경우 아래 항목을 포함했습니다.
그림 1: DNS 요청
그림 2: DNS 응답
그런 다음 2016 도메인 컨트롤러 캐시로 이동하여 항목을 살펴봅니다. in-addr 폴더의 항목은 다음과 같습니다. 누군가 이것이 무엇을 의미하는지 이해하도록 도와줄 수 있습니까?
rev1.globalrootservers.net 및 rev2.globalrootservers.net 항목은 DNS 상위 항목(afrinic.net, lacnic.net, apnic.net,rip.net 및 arin.net을 나타냄)의 하위 항목이므로 걱정할 필요가 없습니다. 에 대한?
그림 3: 상위 캐시 항목
그림 4: Rev1 및 Rev2 하위 항목
그림 5: rev1 및 rev2의 속성
또한 rev1 및 rev2 캐시 속성에 있는 IP 주소를 조회하면 20.64.0.0/10 IP 범위 내의 Azure SQL Managed Instance인 Microsoft를 가리킵니다.
이것이 실제 문제인지, 해결책인지 또는 문제 해결을 위한 추가 조치인지 확인하는 데 도움을 주시면 감사하겠습니다. 감사합니다!
답변1
며칠 동안 로그를 수집한 끝에 마침내 문제를 발견했습니다. 시작 요청은 85.93.20.247:8080에서 발생합니다. 방화벽은 요청을 차단하고 잠시 후에 IP에 대한 역방향 조회를 시도합니다. 이 문제는 해결될 수 없으며 결국 DNS 서버의 루트 힌트 확인자로 이동하여 최종적으로 rev1.globalrootservers.net 및 rev2.globalrootservers.net으로 확인됩니다. 그런 다음 당사의 DNS 서버는 도메인에 대한 조회를 수행하고 OpenDNS는 이를 맬웨어로 표시합니다.
이러한 유형의 일이 다시 발생하지 않도록 하기 위해 DNS 속성의 전달자 탭에서 "사용 가능한 전달자가 없으면 루트 힌트 사용" 확인란을 비활성화하여 루트 힌트 사용을 금지했습니다. 우리는 루트 힌트 대신 OpenDNS 및 기타 검증된 DNS 서버만 사용하려고 합니다. 해당 DNS 전달자가 도메인을 확인하지 않으면 도메인이 확인되는 것을 원하지 않습니다.