[W7] Uitzoeken welke programma&#039;s DNS query&#039;s uitvoeren

dinsdag 15 januari 2019 09:40

Moderator CSA/PB

Front verplichte underscores

Een malwarescan buiten Windows om (bootable USB) leverde trouwens niets op?

Bij misbruik van poort 53 zou de betreffende applicatie / service dus wel zichtbaar moet zijn. Misschien (!) voldoet het om een logger automatisch te laten starten. Overigens is het afaik niet per se zo dat alle tools de Windows dns gebruiken, zelf een eigen dns server bevragen kan ook, maar dat kan ik mis hebben

Het hoeft overigens niet per se malware te zijn, kan ook gewone software die een ietwat foute 'call home' doet. 5.45.62.115 is Avast.com. Gebruik je Avast? Loop eens door de settings op zoek naar dergelijke opties, schakel als test alle updates uit of verwijder het als test volledig. Als het dan weg is weet je hoe laat het is.

Maar hoe dan ook zou ik zelf bij significante twijfel gewoon de machine backuppen, formatteren, herinstalleren.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Acties:

0 Henk 'm!

dinsdag 15 januari 2019 10:28

Moderator CSA/PB

Front verplichte underscores

Je zou op de PC self 'any' tool kunnen gebruiken om al het netwerkverkeer te loggen / bekijken, en dan filteren op poort 53. Al zal je waarschijnlijk vooral svchost.exe zien als degene die de query doet. En dat help je dan niet zo veel.

De ingebouwde Netstat -b zal (IIRC) niet voldoen omdat die DNS-verkeer er niet laat zien. Bijvoorbeeld https://www.nirsoft.net/utils/live_tcp_udp_watch.html wel als je een grafische interface wilt.

Omdat het primair over malware vinden gaat, verplaats ik het topic naar de buren van beveiliging

Edit: of je zoekt naar welke programma's ueberhaupt naar buiten bellen. (Dat kan ook via DNS, maar dat zal wel niet als het via je eigen DNS server loopt).

[ Voor 12% gewijzigd door F_J_K op 15-01-2019 09:41 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Acties:

0 Henk 'm!

dinsdag 15 januari 2019 10:49

Topicstarter

F_J_K schreef op dinsdag 15 januari 2019 @ 09:40:
Je zou op de PC self 'any' tool kunnen gebruiken

Wat bedoel je daarmee? Als ik daarop Google vind ik niets relevants?

Bijvoorbeeld https://www.nirsoft.net/utils/live_tcp_udp_watch.html wel als je een grafische interface wilt.

Helaas levert dat ook alleen maar svchost op. Daar komt nog bij, de detectie door de IPS vind altijd plaats als de computer opstart. Zulke losse programmaatjes draaien tijdens het opstarten is een lastige opgave

Edit: of je zoekt naar welke programma's ueberhaupt naar buiten bellen. (Dat kan ook via DNS, maar dat zal wel niet als het via je eigen DNS server loopt).

De IPS filtert heel specifiek DNS-verkeer wat kwaadaardige trekken vertoont, zoals het vermoeden van tunneling. Als er inderdaad sprake is van DNS tunneling (dit kan ik niet met zekerheid vaststellen) dan is er behalve het DNS verkeer waarschijnlijk geen ander verkeer naar buiten.

Acties:

0 Henk 'm!

dinsdag 15 januari 2019 13:21

boelkloedig

ktf schreef op dinsdag 15 januari 2019 @ 08:57:
Goedemorgen allen,

Vorige week heb ik mijn UniFi netwerk uitgebreid met een bijbehorende gateway. Deze gateway heeft IPS, oftewel 'inbraakbescherming'. Nu detecteert deze elke ochtend bij het opstarten van een specifieke PC op het netwerk, DNS verkeer wat daar niet vandaan hoort te komen. Ik ben bang dat er sprake is van malware, maar scannen levert niets op.

Nu is mijn vraag: hoe kan ik vaststellen om welk programma het gaat? De gateway kan uiteraard alleen vaststellen vanaf welk apparaat op het netwerk dit verkeer komt. Het apparaat in kwestie is een PC met Windows 7. Ik heb gezocht in het DNS cache, maar dit houdt niet bij welk programma deze queries doet.

Is hier iets voor in windows ingebouwd, of moet ik dit oplossen met een programma?

"Een programma" doet geen DNS-queries maar roept de getHostByName api aan in WINNT.DLL
WINNT.DLL doet niet aan logging want is - volgens microsoft - optimized for the case of succes

Als je persé op deze manier verder wilt gaan, moet je het IP-adres uit het antwoord op de DNS query halen en in resource monitor kijken welk proces vervolgens een verbinding maakt naar dat IP-adres. Maar de kans is groot dat de sessie in kwestie al weer verbroken is, voordat jij er in geslaagd bent om resource monitor op te starten

In het algemeen ga je, als je een systeem niet vertrouwt, over tot herinstallatie. Win10 heeft daar een mooie optie voor die reset to default settings heet. Bij Win7 zul je met een DVD of USBstick aan de slag moeten gaan

Alternatief zou je de DNS query met ons kunnen delen. Misschien herkent iemand het als een onschuldige url voor de updates op een of ander programma

QnJhaGlld2FoaWV3YQ==

Acties:

0 Henk 'm!

dinsdag 15 januari 2019 13:37

Topicstarter

Brahiewahiewa schreef op dinsdag 15 januari 2019 @ 10:49:
Als je persé op deze manier verder wilt gaan, moet je het IP-adres uit het antwoord op de DNS query halen en in resource monitor kijken welk proces vervolgens een verbinding maakt naar dat IP-adres. Maar de kans is groot dat de sessie in kwestie al weer verbroken is, voordat jij er in geslaagd bent om resource monitor op te starten

Sterker nog, als er sprake is van DNS tunneling, wordt er niet eens een verbinding gelegd. De query zelf komt namelijk uit bij de nameserver die de malware probeert te bereiken, en zo'n query kan al voldoende informatie bevatten. Maargoed, OK, als ik je goed begrijp, is het dus (in Windows 7) niet mogelijk te herleiden welk programma (via API) een bepaalde DNS query doet/aanvraagt.

Alternatief zou je de DNS query met ons kunnen delen. Misschien herkent iemand het als een onschuldige url voor de updates op een of ander programma

Ik krijg deze data van mijn IPS (meer heb ik momenteel niet), dat is naar mijn beste weten Suricata met een database van EmergingThreats.net op een UniFi systeem.

Afbeeldingslocatie: https://tweakers.net/ext/f/qHhsLUKI7KCh5LMvDdtAf6wI/full.png

Afbeeldingslocatie: https://tweakers.net/ext/f/qHhsLUKI7KCh5LMvDdtAf6wI/full.png

Ik krijg de volgende 'detailmeldingen'

Potential Corporate Privacy Violation: ET DNS Non-DNS or Non-Compliant DNS traffic on DNS port Reserved Bit Set
Potential Corporate Privacy Violation: ET DNS Non-DNS or Non-Compliant DNS traffic on DNS port Opcode 8 through 15 set

Deze meldingen krijg ik van één PC in het netwerk, naar verschillende IP addressen, waaronder

5.45.62.115
158.85.239.244
169.44.67.31
173.192.103.7
185.229.190.129
195.181.172.177
195.181.172.129

Uiteraard allemaal UDP naar poort 53

Acties:

Beste antwoord ✓
0 Henk 'm!

dinsdag 15 januari 2019 16:41

Moderator CSA/PB

Front verplichte underscores

Een malwarescan buiten Windows om (bootable USB) leverde trouwens niets op?

Bij misbruik van poort 53 zou de betreffende applicatie / service dus wel zichtbaar moet zijn. Misschien (!) voldoet het om een logger automatisch te laten starten. Overigens is het afaik niet per se zo dat alle tools de Windows dns gebruiken, zelf een eigen dns server bevragen kan ook, maar dat kan ik mis hebben

Het hoeft overigens niet per se malware te zijn, kan ook gewone software die een ietwat foute 'call home' doet. 5.45.62.115 is Avast.com. Gebruik je Avast? Loop eens door de settings op zoek naar dergelijke opties, schakel als test alle updates uit of verwijder het als test volledig. Als het dan weg is weet je hoe laat het is.

Maar hoe dan ook zou ik zelf bij significante twijfel gewoon de machine backuppen, formatteren, herinstalleren.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Acties:

0 Henk 'm!

woensdag 16 januari 2019 07:43

boelkloedig

F_J_K schreef op dinsdag 15 januari 2019 @ 13:37:
...
5.45.62.115 is Avast.com...

173.192.103.7 ook

Weer typisch zo'n "security" feature die alleen maar paniek zaait en niets oplost

QnJhaGlld2FoaWV3YQ==

Acties:

0 Henk 'm!

woensdag 16 januari 2019 10:24

Topicstarter

F_J_K schreef op dinsdag 15 januari 2019 @ 13:37:
Het hoeft overigens niet per se malware te zijn, kan ook gewone software die een ietwat foute 'call home' doet. 5.45.62.115 is Avast.com. Gebruik je Avast? Loop eens door de settings op zoek naar dergelijke opties, schakel als test alle updates uit of verwijder het als test volledig. Als het dan weg is weet je hoe laat het is.

Het blijkt inderdaad Avast te zijn. Zie ook hier Het is hun DNSCRYPT service, waarmee Avast controleert of je DNS service wel helemaal jofel is.

Brahiewahiewa schreef op dinsdag 15 januari 2019 @ 16:41:
Weer typisch zo'n "security" feature die alleen maar paniek zaait en niets oplost

De laatste keer dat jij een false positive kreeg van je virusscanner heb je deze ook maar verwijderd, want ja, zaait alleen maar paniek en lost niets op.

Er zijn allerhande legitieme redenen om goed op de DNS poort te letten, want het is in het geval er een proxy gebruikt wordt bijvoorbeeld, in veel gevallen zo ongeveer de enige bypass van die proxy. Als Avast dan doodleuk een ander protocol wat eigenlijk op een heel andere poort thuishoort over die poort gooit, dan vind ik het niet meer dan normaal dat mijn IPS daar een melding van maakt.

[ Voor 3% gewijzigd door ktf op 16-01-2019 07:44 ]

Acties:

0 Henk 'm!

woensdag 16 januari 2019 10:36

boelkloedig

ktf schreef op woensdag 16 januari 2019 @ 07:43:
[...]

Het blijkt inderdaad Avast te zijn. Zie ook hier Het is hun DNSCRYPT service, waarmee Avast controleert of je DNS service wel helemaal jofel is.

[...]

De laatste keer dat jij een false positive kreeg van je virusscanner heb je deze ook maar verwijderd, want ja, zaait alleen maar paniek en lost niets op.

Er zijn allerhande legitieme redenen om goed op de DNS poort te letten, want het is in het geval er een proxy gebruikt wordt bijvoorbeeld, in veel gevallen zo ongeveer de enige bypass van die proxy. Als Avast dan doodleuk een ander protocol wat eigenlijk op een heel andere poort thuishoort over die poort gooit, dan vind ik het niet meer dan normaal dat mijn IPS daar een melding van maakt.

Joh, ik vind het prima dat jij je op onbetrouwbare tools verlaat om je netwerk te beveiligen. Veel plezier ermee!
Maar als je dan vervolgens tweakers.net nodig hebt om uit te vogelen wat er aan de hand is, krijg je mijn mening daarover te horen.

QnJhaGlld2FoaWV3YQ==

Acties:

0 Henk 'm!

woensdag 16 januari 2019 10:49

Topicstarter

Brahiewahiewa schreef op woensdag 16 januari 2019 @ 10:24:
[..] onbetrouwbare tools [..]

Ja, want een false positive maakt een hele tool direct onbetrouwbaar. Beetje kort door de bocht, niet?

Brahiewahiewa schreef op woensdag 16 januari 2019 @ 10:24:
[...]Maar als je dan vervolgens tweakers.net nodig hebt [..]

GoT is toch zeker niet alleen maar voor discussies, maar ook gewoon voor vragen? Zo'n rare vraag was dit toch niet? Moet ik dan per se een opleiding in IT gehad hebben voordat ik mijn eigen thuisnetwerk probeer te beveiligen?

[ Voor 58% gewijzigd door ktf op 16-01-2019 10:48 ]

Acties:

0 Henk 'm!

woensdag 16 januari 2019 10:52

boelkloedig

ktf schreef op woensdag 16 januari 2019 @ 10:36:
[...]

Ja, want een false positive maakt een hele tool direct onbetrouwbaar. Beetje kort door de bocht, niet?

Nogmaals: als jij happy bent met deze tool moet je hem gewoon blijven gebruiken

QnJhaGlld2FoaWV3YQ==

Acties:

0 Henk 'm!