May 23, 2020

New activity of DoubleGuns‘ gang, control hundreds of thousands of bots via public cloud service

Overview Recently, our DNS data based threat monitoning system DNSmon flagged a suspicious domain pro.csocools.com. The system estimates the scale of infection may well above hundreds […]
May 26, 2020

从DNS角度看NTP pool服务器的使用

随着互联网的快速发展,其已经深入到日常生活中的方方面面,越来越多的业内人员对于网络基础设施的重要性有了非常深入的认识。不过谈到基础设施,通常都会谈及DNS协议,但是还有一个关键的协议NTP(Network Time Protocol)却没有得到应有的重视。 NTP是否能够良好的工作会影响到计算机系统的大部分基于时间判定的逻辑的正确运行。比如DNSSEC是否过期,IPSEC的隧道建立,TLS证书的有效性校验,个人密码的过期,crontab任务的执行等等[1]。 NTP协议同DNS类似,是互联网最古老的协议之一,主要作用如其名字所说,用来保持设备时间的同步。在我们使用的操作系统比如windows,Android或者Macos都配置有自己的NTP时间服务器来定期同步设备上的时间。 NTP pool 是什么? 由于互联网的发展以及NTP业务的特殊性(时间需要定期同步),少量的NTP服务器的负载越来越大,并且公共一级NTP授时服务器存在被滥用的问题,2003年1月NTP pool项目正式设立。 其基本原理通过域名“pool.ntp.org”基于特定规则划分为多个子域名并在这些子域名上使用DNS轮询来提供所需的服务器IP地址来给客户端使用,这种技术类似于恶意软件所使用的DNS的fastflux技术,不过要早很多。如果读者基于DNS数据做过fastflux的检测,那么对 pool.ntp.org必然不会陌生,它是去噪的主要对象。 关于NTP pool的更多内容请参考这里[2]。 DNSMon DNSMon是360netlab开发的基于海量DNS数据(国内5%左右的DNS流量)并结合whois,web,沙箱,蜜罐等多维度数据,对恶意域名进行综合分析,提取和拦截的安全系统。每天可以产生上千条恶意和高可疑域名黑名单,服务于国内大约2000万用户,并已稳定运行2年半。在无规则前提下,已拦截MSRAMiner,GodLua等十余种挖矿,DDoS等僵尸网络。 从DNS数据看NTP pool业务 NTP pool的这种利用少量域名使用DNS轮询来提供IP地址的服务由于访问量巨大,并且映射到大量的分散的IP地址,在DNSMon 中是非常显眼的存在。 从DNS角度除了能够对NTP pool自身业务规模的评估之外,还可以对互联网业务做到大致的评估,毕竟几乎所有的联网设备都要进行时间同步(从DNSMon的数据来看确实有少量的联网设备存在时间漂移问题,设备数量大概不到总数的万分之二)。 为了准确的评估NTP pool的业务情况,我们从DNSMon中选取了20200519 18:00 […]
May 26, 2020

Look at NTP pool using DNS data

With the rapid development of the Internet, more and more people have realized the importance of network infrastructure.  We don’t hear people talk about NTP ( […]
June 30, 2020

AA20-182A: EINSTEIN Data Trends – 30-day Lookback

Original release date: June 30, 2020 Summary Cybersecurity and Infrastructure Security Agency (CISA) analysts have compiled the top detection signatures that have been the most active […]