Nosso serviço Cisco Umbrella está identificando solicitações de DNS para rev1.globalrootservers.net e rev2.globalrootservers.net como maliciosas. Estou tentando descobrir se isso é realmente um problema ou se é um falso positivo. Abaixo estão todas as soluções de problemas que realizei.
Os únicos indicadores de maldade são o OpenDNS afirmando que o domínio globalrootservers.net é malware e o VirusTotal-Fortinet também está relatando malware para rev2.globalrootservers.net. Todos os ponteiros para os nomes DNS rev1 e rev2 apontam atualmente para 0.0.0.0 como o IP.
As entradas DNS passivas otx.alienvault.com para globalrootservers.net (Figura 3) mudam de tempos em tempos e os IPs são resolvidos para vários domínios não confiáveis.
Como não temos o Umbrella VA implantado, limpei o cache e ativei o log de DNS em ambos os controladores de domínio. Encontrei evidências do acerto de DNS apenas no controlador de domínio de 2016. Depois de capturar a solicitação e a resposta (Figuras 1 e 2) diversas vezes durante vários dias, elas nunca vieram do controlador de domínio de 2012.Parece que a fonte é nosso controlador de domínio de 2016 e não consigo entender por que isso acontece. Incluí as entradas abaixo se alguém puder me dizer que isso está correto.
Figura 1: Solicitação de DNS
Figura 2: Resposta DNS
Em seguida, vou para o cache do Controlador de Domínio 2016 e vejo as entradas. As entradas da pasta in-addr estão abaixo. Alguém pode me ajudar a entender o que isso significa?
Como as entradas rev1.globalrootservers.net e rev2.globalrootservers.net são filhas dos pais DNS (que indicam afrinic.net, lacnic.net, apnic.net, maduro.net e arin.net), isso não é nada para se preocupar sobre?
Figura 3: Entrada do cache pai
Figura 4: entradas secundárias Rev1 e Rev2
Figura 5: Propriedades de rev1 e rev2
Além disso, ao procurar o endereço IP localizado nas propriedades do cache rev1 e rev2, ele aponta para a Microsoft, que é uma Instância Gerenciada de SQL do Azure dentro do intervalo de IP 20.64.0.0/10.
Eu apreciaria muito qualquer ajuda para identificar se este é um problema real, uma solução ou para promover minha solução de problemas. Obrigado!
Responder1
Finalmente encontrei o problema depois de dias coletando logs. A solicitação inicial está ocorrendo em 85.93.20.247:8080. O firewall bloqueia a solicitação e um pouco depois tenta realizar uma pesquisa reversa no IP. Ele não pode ser resolvido e acaba indo para os resolvedores de dicas de root em nosso servidor DNS, que finalmente o resolvem para rev1.globalrootservers.net e rev2.globalrootservers.net. Nosso servidor DNS então realiza uma pesquisa nos domínios e o OpenDNS os sinaliza como malware.
Para evitar que esse tipo de coisa aconteça novamente, desativei a caixa de seleção "Usar dicas de raiz se nenhum encaminhador estiver disponível" na guia encaminhadores nas propriedades do DNS para proibir o uso de dicas de raiz. Queremos usar apenas OpenDNS e outros servidores DNS verificados em vez das dicas de raiz. Se esses encaminhadores de DNS não resolverem o domínio, não queremos que o domínio seja resolvido.