Session

16/10/2020 : 16:45 - 17:30 | Auditorium | Babi Martin

Les logiciels malveillants (ou la méthode d’exfiltration des données) utilisent les hostnames dits “DNS dynamique” pour se connecter à l’internet.

Il s’agit de la faille de sécurité ou de l’échantillon de logiciel malveillant la plus commune des cinq dernières années et il est possible de tomber sur un dénominateur assez commun. Mais qu’est-ce que le DNS dynamique (DDNS) ? Pourquoi les acteurs malveillants l’utilisent-ils ? Et comment les défenseurs des réseaux le détectent-ils dans leur réseau ?

Sur un plan fondamental, le DNS dynamique permet aux sous-domaines d’avoir des adresses IP qui peuvent être rapidement modifiées, souvent en temps réel. Les utilisateurs légitimes profitent de ce service en faisant appel à des fournisseurs tels que noip.com ou duckdns.org pour créer des sous-domaines faciles à mémoriser (comme l’exemple “ma maison.no-ip[.]org”) et faire pointer ce sous-domaine vers une adresse IP comme celle de leur routeur domestique. Cela signifie que l’utilisateur peut facilement se connecter à son réseau domestique en utilisant un nom de domaine au lieu d’une adresse IP difficile à retenir. Si l’adresse IP de l’utilisateur change, il peut simplement mettre à jour son fournisseur de DNS dynamique avec les nouvelles informations.

L’objectif est de mettre en place une analyse pour détecter le DNS malveillant en utilisant les données du CERT remontés dans la plateforme Splunk dans l’environnement Michelin.

Nous utilisons différentes méthodes d’analyse de texte automatique ainsi que de Machine Learning pour automatiser cette détection de DNS malicieux.

Conférence
BigData & AI