一、起因

（一）告警信息

某天，某APT平台检测发现，内网DNS服务器的53端口，多次向某IP地址（IP1）发送恶意域名（ilo.brenz.pl）的dns解析响应。经查，IP1不是内网主机的IP地址，而是负载均衡设备的IP。

（二）问题的提出

• “发送恶意域名的dns解析响应”意味着什么？
• 在没有定位到发出dns解析请求的真实源IP的情况下，此事件应如何处置？

二、分析

（一）恶意域名分析

恶意域名：ilo.brenz.pl

根据微步情报局掌握的信息，有1000+个样本与该IP地址有通信行为，关联样本主要涉及Agent,Dzan,MicroFake恶意样本家族，恶意类型为木马。

（二）告警的含义

告警信息为“发送恶意域名的dns解析响应”，说明作为响应接收者的主机（IP1）向DNS服务器发出过针对恶意域名（ilo.brenz.pl）的解析请求，那么该主机上很可能正在运行着恶意程序，是那个恶意程序要求解析域名，之后很可能会连接到恶意域名所对应的命令与控制服务器。即使网络边界的安全设备已经阻断了从内网向互联网发起的全部请求，对于运行着木马程序的主机也应立即进行处理，以免事态扩大。

三、处置方法

（一）定位真实源IP

在此事件中，检测设备看到的源IP地址是经过负载均衡设备转换之后的地址。这个地址是无法定位恶意进程的，必须找到转换之前的IP。根据个人经验，可使用下面的方法：

1、 通过科来网络回溯分析系统获取数据包

启动控制台，点击文件—下载数据包，打开“数据包下载”窗口。

指定时间范围：根据告警信息中事件的发生时间，选择合适的值。

服务器链路：选择相应的网络安全域。

过滤条件：这里选择DNS协议。

点击下载按钮，下载pcap抓包文件。

2、 使用tcpdump捕获数据包

如果没有部署科来网络回溯分析系统，或者从科来系统中下载数据包的源IP也是转换后的，那么就需要通过配置交换机的端口镜像来获取流量。

在合适的网络位置（数据包发出后尚未经过负载均衡）的交换机设备上配置端口镜像，使业务端口的流量从监控端口流出。将一台linux主机通过网线连接到交换机的监控端口，在这台Linux主机上使用tcpdump抓包：

//抓取dns协议的数据包

sudo tcpdump -i eth0 -ntvv port domain -w dns.pcap

//或者抓取udp 53端口的数据包

sudo tcpdump -i eth0 -ntvv udp port 53 -w dns.pcap

运行一段时间，按下ctrl-c终止，数据包被保存到dns.pcap文件中。

也可以使用wireshark抓包。wireshark是GUI程序，需要进入Linux的图形界面系统。

3、 使用wireshark分析数据包

运行wireshark，打开通过科来或tcpdump得到的pcap文件，或者查看自己捕获的流量，在显示过滤器中输入下面的指令，只显示查询指定恶意域名的dns数据包（可指定多个）：

dns.qry.name == "ilo.brenz.pl" or dns.qry.name == "ckksqqkqyj.ws"

发出针对恶意域名的DNS解析请求的真实源IP就在返回的结果中。

4、 使用ngrep抓包

可以使用ngrep实时查看dns解析请求内容。ngrep是命令行程序，需要root权限。在Linux主机输入下面的命令：

//实时显示UDP 53端口发送/接收的数据包中含有指定域名的行

sudo ngrep -d any -W byline "ilo.brenz.pl" port 53

截图中的场景是对ngrep命令的演示。从截图中可以看到，192.168.1.3向8.8.8.8的dns端口发送的数据中含有域名“ilo.brenz.pl”。

（二）清除木马进程

找到真实IP后，登录该主机，按照Linux系统入侵排查的checklist，对进程、日志、木马后门等逐一进行分析和处置。具体过程这里不做赘述。

原文始发于微信公众号（新蜂网络安全实验室）：恶意域名的dns查询响应