Tweet
1. DNS Tunneling
Le tunneling DNS est une technique utilisée par les attaquants pour contourner les mesures de sécurité réseau en encodant des données dans les requêtes et réponses DNS. Cette règle surveille le trafic DNS à la recherche de requêtes ou de réponses excessives vers des noms de domaine ou des adresses IP inhabituels, ce qui pourrait indiquer une attaque par tunneling DNS.
MITRE ATT&CK tactique
Exfiltration
Command and Control
MITRE ATT&CK technique
Exfiltration Over Alternative Protocol (T1048)
Protocol Tunneling (T1572)
2. Domain Generation Algorithm (DGA)
Cette règle recherche des noms de domaine générés par un algorithme DGA et qui n’ont aucune finalité légitime, ce qui pourrait indiquer la présence de logiciels malveillants sur le réseau. Les DGA sont des algorithmes utilisés par les malwares pour générer un grand nombre de noms de domaine pouvant servir à des communications de commande et de contrôle (C2).
MITRE ATT&CK tactique
Command and Control
MITRE ATT&CK technique
Dynamic Resolution : Domain Generation Algorithms (T1568.002)
3. DNS Cache Poisoning
Cette règle surveille les réponses DNS qui ne correspondent pas à la requête DNS attendue, ce qui pourrait indiquer une attaque de type spoofing DNS. Le spoofing DNS, également connu sous le nom d’empoisonnement du cache DNS, est une technique utilisée par les attaquants pour rediriger les requêtes DNS vers des adresses IP malveillantes.
MITRE ATT&CK tactique
Credential Access
Collection
MITRE ATT&CK technique
Adversary-in-the-Middle (T1557)
4. DNS Sinkhole
Un DNS sinkhole est une technique qui permet de rediriger les requêtes DNS destinées à des domaines malveillants connus vers une adresse IP inexistante. La règle de détection de sinkhole DNS surveille les requêtes DNS vers ces domaines malveillants connus et vérifie si l’adresse IP retournée correspond à l’adresse IP attendue pour ce domaine. Si ce n’est pas le cas, cela pourrait indiquer qu’un malware tente de communiquer avec un serveur C2.
MITRE ATT&CK tactique
Defense Evasion
MITRE ATT&CK technique
Impair Defenses : Disable or Modify Tools (T1562.001)
5. DNS Typosquatting
Cette règle détecte une communication réussie avec un domaine qui est une faute de frappe (typo) du domaine d’un client. Le typosquatting DNS est une tactique utilisée par les attaquants qui consiste à enregistrer un nom de domaine très similaire à un domaine légitime, dans le but de tromper les utilisateurs et les inciter à visiter un faux site web, pouvant mener au vol d’informations sensibles.
MITRE ATT&CK tactique
Initial Access
MITRE ATT&CK technique
Phishing : Spearphishing via Link (T1566.002)
6. DNS Pharming
Dans les attaques de type DNS pharming, les attaquants redirigent les utilisateurs vers un faux site web en modifiant le cache DNS ou le fichier hosts DNS de l’ordinateur d’un utilisateur ou d’un serveur DNS. Cette règle surveille les requêtes DNS vers des domaines connus et vérifie si l’adresse IP retournée correspond à l’adresse IP attendue pour ce domaine. Si ce n’est pas le cas, cela pourrait indiquer une infection par un malware essayant de communiquer avec un serveur C2.
MITRE ATT&CK tactique
Defense Evasion
MITRE ATT&CK technique
Impair Defenses : Disable or Modify Tools (T1562.001)
7. Dynamic DNS Abuse
Les services DNS dynamiques (DDNS) permettent d’associer une adresse IP changeante à un nom de domaine constant. Bien qu’ils aient des usages légitimes, les attaquants les exploitent fréquemment pour établir des canaux C2 de malware, car il est facile de mettre à jour ou de changer rapidement l’adresse sans devoir enregistrer de nouveaux domaines.
MITRE ATT&CK tactique
Command and Control
MITRE ATT&CK technique
Dynamic Resolution (T1568)
Application Layer Protocol : DNS (1071.004)
8. DNS Calculation
Surveille et analyse les modèles de trafic et l’inspection des paquets associés à des protocoles qui ne suivent pas les standards ou flux attendus (par exemple : paquets supplémentaires ne correspondant pas à des flux établis, trafic gratuit ou anormal, syntaxe ou structure inhabituelle). Il est recommandé de corréler avec des informations de surveillance de processus et de lignes de commande pour détecter l’exécution de processus anormaux et les arguments de commande associés à ces modèles de trafic (par exemple : surveiller les anomalies dans l’utilisation de fichiers qui ne devraient normalement pas initier de connexions réseau).
MITRE ATT&CK tactique
Command and Control
MITRE ATT&CK technique
Dynamic Resolution : DNS Calculation (T1568.003)
9. Fast Flux DNS
Surveille les connexions réseau nouvellement établies qui pourraient utiliser du Fast Flux DNS pour masquer un canal de commande et de contrôle derrière un ensemble d’adresses IP changeant rapidement mais liées à une seule résolution de domaine.
MITRE ATT&CK tactique
Command and Control
MITRE ATT&CK technique
Dynamic Resolution : Fast Flux DNS (T1568.001)
10. DNS Beaconing (Periodic Queries)
De nombreuses familles de malwares envoient régulièrement des "beacons" via DNS pour s’enregistrer auprès de leur serveur C2. Ces communications par DNS apparaissent comme des résolutions normales de noms de domaine. Ce cas d’usage consiste à détecter des requêtes DNS régulières et périodiques vers un même domaine ou un petit ensemble de domaines. Par exemple, un hôte infecté pourrait résoudre un domaine particulier toutes les 60 secondes de manière constante.
MITRE ATT&CK tactique
Command and Control
MITRE ATT&CK technique
Application Layer Protocol : DNS (1071.004)
X
Réduire
Categories
Réduire
Article Tags
Réduire
- active directory (4)
- analyse (2)
- batch (2)
- commande (7)
- commandes (3)
- dns (3)
- docker (6)
- exchange (9)
- linux (11)
- message d'absence (4)
- monitoring (3)
- network (4)
- powershell (13)
- raspberry (4)
- raspberry pi (4)
- réseau (5)
- script (2)
- securite (4)
- security (3)
- serveur (3)
- shell (3)
- snmp (3)
- supervision (5)
- windows (2)
- windows server (2)
Latest Articles
Réduire
-
par hcornet### Pourquoi prendre le contrôle à distance d’une session RDS ?
Dans une infrastructure RDS, les utilisateurs se connectent à des sessions distantes sur le serveur. Parfois, un support technique doit intervenir directement dans la session de l’utilisateur pour corriger un problème, configurer un paramètre, ou simplement accompagner une formation. La fonctionnalité de contrôle à distance permet cette interaction sans nécessiter que l’utilisateur se déconnecte, facilitant...-
Canal: Administration Système
05 November 2025, 09h23 -
-
par hcornetSommaire
Lien : https://nmap.org/
1. Présentation
Nmap est un utilitaire pour la découverte de réseaux et l'audit de sécurité.
De nombreux systèmes et réseaux les administrateurs le trouvent également utile pour des tâches telles que le réseau.
L'inventaire, la gestion des calendriers de mise à niveau des services et la surveillance de l'hôte ou disponibilité du service.
Nmap utilise des paquets IP bruts de nouvelles manières...-
Canal: Linux
19 August 2025, 13h07 -
-
par hcornet1. DNS Tunneling
Le tunneling DNS est une technique utilisée par les attaquants pour contourner les mesures de sécurité réseau en encodant des données dans les requêtes et réponses DNS. Cette règle surveille le trafic DNS à la recherche de requêtes ou de réponses excessives vers des noms de domaine ou des adresses IP inhabituels, ce qui pourrait indiquer une attaque par tunneling DNS.
MITRE ATT&CK tactique
Exfiltration
Command and Control
...-
Canal: Articles
04 August 2025, 10h08 -
-
par hcornetLorsqu'on a l'erreur : Warningchmod(): Operation not permitted au moment de l'exportation de la configuration des colleteurs
ouCode:chown www-data:www-data /etc/centreon-engine/* chown www-data:www-data /etc/centreon-broker/*
...Code:chown apache:apache /etc/centreon-engine/* chown apache:apache /etc/centreon-broker/*
-
Canal: Centreon
21 April 2025, 16h53 -