{"id":36583,"date":"2025-01-28T12:37:24","date_gmt":"2025-01-28T11:37:24","guid":{"rendered":"https:\/\/relnet.hu\/?p=36583"},"modified":"2025-01-28T12:37:24","modified_gmt":"2025-01-28T11:37:24","slug":"a-passziv-dns-szerepe-a-fenyegetesvadaszatban","status":"publish","type":"post","link":"https:\/\/relnet.hu\/en\/a-passziv-dns-szerepe-a-fenyegetesvadaszatban\/","title":{"rendered":"A passz\u00edv DNS szerepe a fenyeget\u00e9svad\u00e1szatban"},"content":{"rendered":"

A kiberb\u0171n\u00f6z\u0151k infrastrukt\u00far\u00e1j\u00e1nak meg\u00e9rt\u00e9se kulcsfontoss\u00e1g\u00fa a hat\u00e9kony v\u00e9delem ki\u00e9p\u00edt\u00e9s\u00e9ben. A t\u00e1mad\u00f3k viszont k\u00fcl\u00f6nf\u00e9le rejt\u0151zk\u00f6d\u0151 taktik\u00e1kat alkalmaznak annak \u00e9rdek\u00e9ben, hogy \u00e9szrev\u00e9tlenek maradjanak.
\n<\/p>\n

A t\u00e1mad\u00f3i infrastrukt\u00fara meg\u00e9rt\u00e9se<\/h5>\n

A t\u00e1mad\u00f3i infrastrukt\u00fara mag\u00e1ban foglalja azokat a szervereket, domaineket \u00e9s egy\u00e9b er\u0151forr\u00e1sokat, amelyeket a t\u00e1mad\u00f3k m\u0171veleteik elind\u00edt\u00e1s\u00e1ra \u00e9s fenntart\u00e1s\u00e1ra haszn\u00e1lnak. Ennek ki\u00e9p\u00edt\u00e9se sor\u00e1n szervereket konfigur\u00e1lnak, domaineket regisztr\u00e1lnak, valamint sebezhet\u0151, nem patchelt routereket \u00e9s IoT-eszk\u00f6z\u00f6ket kompromitt\u00e1lnak. Gyakori strat\u00e9gi\u00e1juk t\u00f6bb szerver haszn\u00e1lata k\u00fcl\u00f6nb\u00f6z\u0151 domainekkel \u00e9s IP-c\u00edmekkel, amelyeket folyamatosan cser\u00e9lgetnek. Amint egyet felfedeznek \u00e9s lefoglalnak, a t\u00e1mad\u00f3k tov\u00e1bbl\u00e9pnek \u00fajabb szerver(ek)re.
\n
Az infrastrukt\u00fara cser\u00e9je sor\u00e1n a t\u00e1mad\u00f3k gyakran v\u00e1ltoztatj\u00e1k a szerverekhez t\u00e1rs\u00edtott domaineket \u00e9s IP-c\u00edmeket, p\u00e9ld\u00e1ul a DNS \u201efast flux\u201d technik\u00e1val. Azonban fontos k\u00fcl\u00f6nbs\u00e9gek vannak a \u201efast flux\u201d \u00e9s az infrastrukt\u00fara cser\u00e9lget\u00e9se k\u00f6z\u00f6tt, k\u00fcl\u00f6n\u00f6sen a m\u0171k\u00f6d\u00e9si mechanizmus, az automatiz\u00e1l\u00e1s \u00e9s a gyakoris\u00e1g tekintet\u00e9ben. Az infrastrukt\u00faracsere m\u00f3dszerben a t\u00e1mad\u00f3k el\u0151re regisztr\u00e1lt domainek \u00e9s IP-c\u00edmek k\u00e9szlet\u00e9t tartj\u00e1k fenn, \u00e9s ezek k\u00f6z\u00f6tt v\u00e1ltanak. Ezzel szemben a DNS \u201efast flux\u201d egyetlen domaint t\u00f6bb, ak\u00e1r perceken bel\u00fcl v\u00e1ltoz\u00f3 IP-c\u00edmmel t\u00e1rs\u00edt, megnehez\u00edtve a rosszindulat\u00fa szerver blokkol\u00e1s\u00e1t vagy elt\u00e1vol\u00edt\u00e1s\u00e1t. Az infrastrukt\u00fara cser\u00e9je reakt\u00edv m\u00f3don t\u00f6rt\u00e9nik, amikor egy domaint blokkolnak vagy elt\u00e1vol\u00edtanak. Ezzel szemben a \u201efast flux\u201d proakt\u00edvan, automatiz\u00e1ltan \u00e9s nagy gyakoris\u00e1ggal forgatja az IP-c\u00edmeket.
\n<\/p>\n

Esettanulm\u00e1ny: CatDDoS Botnet<\/h5>\n

A CatDDoS egy \u00fajgener\u00e1ci\u00f3s botnet, amely a Mirai k\u00f3db\u00e1zis\u00e1b\u00f3l fejl\u0151d\u00f6tt ki, m\u00f3dos\u00edtott payload strukt\u00far\u00e1kkal. OpenNIC domaineket \u00e9s C&C szervereket haszn\u00e1l. Az OpenNIC domainek olyan alternat\u00edv legfels\u0151 szint\u0171 domainek (TLD-k), amelyeket felhaszn\u00e1l\u00f3k \u00e1ltal ir\u00e1ny\u00edtott, non-profit DNS h\u00e1l\u00f3zatok kezelnek, az ICANN szab\u00e1lyoz\u00e1s\u00e1n k\u00edv\u00fcl m\u0171k\u00f6dve. A botnet a kommunik\u00e1ci\u00f3ban egyszerre k\u00fcld titkos\u00edt\u00e1s n\u00e9lk\u00fcli, valamint a ChaCha20 algoritmuson alapul\u00f3 titkos\u00edtott k\u00e9r\u00e9seket. A botnet m\u00f3dos\u00edtotta az eredeti Mirai payload strukt\u00far\u00e1t az adatmez\u0151k sorrendj\u00e9nek megv\u00e1ltoztat\u00e1s\u00e1val, \u00e9s n-edik napi s\u00e9r\u00fcl\u00e9kenys\u00e9gek r\u00e9v\u00e9n terjed az eszk\u00f6z\u00f6kben.
justify
no-repeat;left top;;
auto<\/p>\n

\"JuniperPassiveDNS1-min\"
center<\/p>\n

A t\u00e1mad\u00f3 a fenti grafikonon l\u00e1that\u00f3 hat h\u00f3napos id\u0151szakban gyakran v\u00e1ltoztatta a szervereket \u00e9s a hoszting szolg\u00e1ltat\u00f3kat az \u00e9szlel\u00e9s elker\u00fcl\u00e9se \u00e9rdek\u00e9ben. A C&C szerver IP-c\u00edmeinek gyakori v\u00e1ltoz\u00e1sai megnehez\u00edtett\u00e9k a hagyom\u00e1nyos m\u00f3dszerekkel val\u00f3 blokkol\u00e1sukat.
\n<\/p>\n

Mi az a passz\u00edv DNS?<\/h5>\n

A passz\u00edv DNS seg\u00edts\u00e9g\u00e9vel a Juniper Threat Labs felfedezi a CatDDoS \u00e1ltal haszn\u00e1lt infrastrukt\u00far\u00e1kat. A passz\u00edv DNS olyan DNS napl\u00f3kat jelent, amelyeket \u00e1ltal\u00e1ban a h\u00e1l\u00f3zati forgalom \u00fatvonalain gy\u0171jtenek \u00f6ssze elosztott h\u00e1l\u00f3zati szenzorok seg\u00edts\u00e9g\u00e9vel. Hagyom\u00e1nyos v\u00e1llalati h\u00e1l\u00f3zatokban a t\u0171zfalak, biztons\u00e1gi eszk\u00f6z\u00f6k \u00e9s kollektorok a h\u00e1l\u00f3zat perem\u00e9n helyezkednek el, \u00e9s napl\u00f3zz\u00e1k a kliensek DNS lek\u00e9rdez\u00e9seit. Azonban sok h\u00e1l\u00f3zatban nem v\u00e9gzik el a forgalom napl\u00f3z\u00e1s\u00e1t a historikus adatok gy\u0171jt\u00e9s\u00e9nek \u00e9s t\u00e1rol\u00e1s\u00e1nak k\u00f6lts\u00e9gei miatt. Tov\u00e1bb\u00e1, a DNS forgalom elemz\u00e9se s\u00e9rtheti a felhaszn\u00e1l\u00f3i adatv\u00e9delmet, ez\u00e9rt az adatok gy\u0171jt\u00e9se \u00e9s elemz\u00e9se megfelel\u0151 szab\u00e1lyoz\u00e1st \u00e9s anonimiz\u00e1ci\u00f3s elj\u00e1r\u00e1sokat ig\u00e9nyel. Itt j\u00f6n k\u00e9pbe a rugalmasabb passz\u00edv DNS m\u00f3dszer.
justify
no-repeat;left top;;
auto<\/p>\n

\"JuniperPassiveDNS2-min\"
center
A Juniper Threat Labs fenyeget\u00e9svad\u00e1szat\u00e1nak l\u00e9p\u00e9sei passz\u00edv DNS alkalmaz\u00e1s\u00e1val<\/p>\n

A passz\u00edv DNS egy rendk\u00edv\u00fcl hat\u00e9kony eszk\u00f6z a t\u00e1mad\u00f3k infrastrukt\u00far\u00e1j\u00e1nak azonos\u00edt\u00e1s\u00e1ra, mivel lehet\u0151v\u00e9 teszi a historikus DNS-adatok elemz\u00e9s\u00e9t. Ez a megk\u00f6zel\u00edt\u00e9s seg\u00edt felismerni a t\u00e1mad\u00f3k m\u0171veleteit, \u00e9s lehet\u0151s\u00e9get biztos\u00edt a fenyeget\u00e9sek el\u0151zetes azonos\u00edt\u00e1s\u00e1ra \u00e9s semleges\u00edt\u00e9s\u00e9re.
\n
A Juniper Threat Labs historikus DNS-adatokat haszn\u00e1l azon t\u00e1mad\u00e1si infrastrukt\u00far\u00e1k vizsg\u00e1lat\u00e1ra \u00e9s felfedez\u00e9s\u00e9re, amelyek m\u00e9g bevet\u00e9sre v\u00e1rnak. Ez a megk\u00f6zel\u00edt\u00e9s egyed\u00fcl\u00e1ll\u00f3 r\u00e1l\u00e1t\u00e1st ny\u00fajt a t\u00e1mad\u00f3i taktik\u00e1k alakul\u00e1s\u00e1ra, \u00e9s l\u00e1that\u00f3v\u00e1 teszi a potenci\u00e1lisan k\u00e1ros domaineket \u00e9s IP-c\u00edmeket.
\n
Egy m\u00e1sik esettanulm\u00e1nyt is bemutat\u00f3 cikk teljes terjedelm\u00e9ben, angol nyelven, itt olvashat\u00f3: Threat Hunting with passive DNS: Discovering the Attacker Infrastructure<\/a> <\/p>\n

Kapcsol\u00f3d\u00f3 tartalom<\/h5>\n

Juniper Networks k\u00e9pz\u00e9sek a RelNet eLearning programban<\/a>
justify
no-repeat;left top;;
auto<\/p>\n","protected":false},"excerpt":{"rendered":"

Ebben a cikkben \u00e1ttekintj\u00fck, hogyan alapozz\u00e1k a kiberb\u0171n\u00f6z\u0151k az infrastrukt\u00far\u00e1jukat az IP-c\u00edmek gyakori v\u00e1ltoztat\u00e1s\u00e1ra \u00e9s a hoszting szolg\u00e1ltat\u00f3k cser\u00e9j\u00e9re. Tov\u00e1bb\u00e1 bemutatjuk, hogyan haszn\u00e1lja a Juniper Threat Labs a passz\u00edv DNS-t a rosszindulat\u00fa infrastrukt\u00far\u00e1k proakt\u00edv felder\u00edt\u00e9s\u00e9re.<\/p>\n","protected":false},"author":1086,"featured_media":36588,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[164],"tags":[4940,3695,4578,162,4939,3606],"yst_prominent_words":[],"class_list":["post-36583","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-juniper-networks","tag-catddos","tag-dns","tag-ip","tag-juniper","tag-threat-labs","tag-tld"],"_links":{"self":[{"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/posts\/36583","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/users\/1086"}],"replies":[{"embeddable":true,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/comments?post=36583"}],"version-history":[{"count":2,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/posts\/36583\/revisions"}],"predecessor-version":[{"id":36591,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/posts\/36583\/revisions\/36591"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/media\/36588"}],"wp:attachment":[{"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/media?parent=36583"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/categories?post=36583"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/tags?post=36583"},{"taxonomy":"yst_prominent_words","embeddable":true,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/yst_prominent_words?post=36583"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}