Este informe enumera las consultas DNS vistas desde servidores DNS recursivos para dominios sinkhole. Tenga en cuenta que las IP enumeradas no son las mismas que la IP de origen real del cliente que realiza la consulta y, por lo tanto, es probable que no sean hosts infectados. Por lo tanto, este informe debe usarse principalmente para respaldar las investigaciones de una amenaza y no como una fuente de identificación directa de hosts infectados.
El sumidero de DNS es un proveedor de DNS que suministra resultados falsos a sistemas que buscan información de DNS, lo que permite a un atacante redirigir un sistema a un destino potencialmente malicioso.
Nombre de archivo: event4_sinkhole_dns
CAMPOS
timestamp | Marca de tiempo en UTC+0 de la consulta DNS |
protocol | Protocolo del tráfico de conexión (UDP/TCP) |
src_ip | IP del resolutor recursivo que realiza la consulta |
src_port | Puerto de origen de la consulta |
src_asn | ASN del resolutor recursivo |
src_geo | Ubicación del país del resolutor recursivo |
src_region | Región del resolver recursivo |
src_city | Ciudad del resolutor recursivo |
src_hostname | DNS inverso del resolutor recursivo |
src_naic | Código del sistema de clasificación de la industria de América del Norte |
src_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
device_vendor | Proveedor del dispositivo de origen |
device_type | Tipo de dispositivo de origen |
device_model | Modelo de dispositivo de origen |
infection | Descripción del malware/infección |
family | Familia de malware o campaña asociada con el evento |
tag | Información de etiquetado, como información sobre qué amenaza está asociada con el dominio hundido |
query_type | Tipo de consulta DNS (por ejemplo, NS, SOA, A) |
query | Se está consultando el nombre de dominio hundido |
count | Número de consultas vistas |
EJEMPLO
"timestamp","protocol","src_ip","src_port","src_asn","src_geo","src_region","src_city","src_hostname","src_naics","src_sector","device_vendor","device_type","device_model","infection","family","tag","query_type","query","count"
"2021-04-05 00:00:01","udp","34.204.x.x",22732,14618,"US","VIRGINIA","ASHBURN",,454110,"Retail Trade",,,,"avalanche-unknown","avalanche-unknown","avalanche","A","nS1.TEStTeStTesT.COM",1
"2021-04-05 00:00:01","udp","197.155.x.x",54448,30844,"KE","NAIROBI CITY","NAIROBI",,,,,,,"boaxxe","boaxxe","3ve","A","5.k5service.org",1
"2021-04-05 00:00:01","udp","138.246.x.x",47214,12816,"DE","BAYERN","MUNICH",,,"Communications, Service Provider, and Hosting Service",,,,"avalanche-ranbyus","avalanche-ranbyus","avalanche","TYPE65","nsyrpuhwibcindkpf.net",1
"2021-04-05 00:00:01","udp","96.96.x.x",23482,7922,"US","NEW JERSEY","MOUNT LAUREL",,517311,"Communications, Service Provider, and Hosting Service",,,,"unityminer","unityminer","qnap,iot","A","aquamangts.tk",1
"2021-04-05 00:00:01","udp","202.163.x.x",25277,9541,"PK","SINDH - SOUTH","KARACHI",,517919,"Government",,,,"modpack","modpack","modpack","AAAA","76236osm1.ru",1
"2021-04-05 00:00:01","udp","172.253.x.x",38910,15169,"PL","MAZOWIECKIE","WARSAW",,519130,"Communications, Service Provider, and Hosting Service",,,,"ranbyus","ranbyus","ranbyus","AAAA","xdpvetcalkgyqjwqw.org",1
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/sinkhole-dns-events-report/