This website uses Cookies. Click Accept to agree to our website's cookie use as described in our Privacy Policy. Click Preferences to customize your cookie settings.
Accept
Reject
Preferences
ABOUT CHECKMATES CYBER SECURITY COMMUNITY & FAQ
Create a Post
Help
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

Are you a member of CheckMates?

×
Sign in with your Check Point UserCenter/PartnerMap account to access more great content and get a chance to win some Apple AirPods! If you don't have an account, create one now for free!
WiliRGasparetto
MVP Diamond
MVP Diamond
3 weeks ago

DGA vs DNS Tunneling no Check Point (ThreatCloud AI)

Como fechar o caso com evidência (TAC-grade)  sem cair em troubleshooting “no escuro”

Por que esse post existe (dor real)

Se você já passou por um desses cenários, sabe como isso vira “tempo queimado” rápido:

  • “Domínios aleatórios” aparecendo em logs (parece DGA, mas ninguém consegue provar).

  • Suspeita de DNS tunneling, mas a análise vira opinião porque falta baseline e evidência.

  • A equipe cria exceção global “pra resolver rápido” e isso vira buraco permanente.

  • Alguém confunde ThreatCloud (inteligência) com enforcement, e o troubleshooting vai para o lado errado.

Este guia é um modelo TAC-grade para explicar, provar e operar DGA e DNS tunneling com rigor.

 

0) Modelo mental (o erro #1 que quebra troubleshooting)

Control plane: ThreatCloud AI (inteligência/veredito)

  • ThreatCloud AI fornece reputação + contexto + veredito (ex.: suspeito/malicioso, categoria).

  • Ele não aplica bloqueio sozinho.

Data plane: Enforcement point (gateway/endpoint/cloud)

  • O bloqueio/detecção acontece no enforcement point, controlado por:

    • blades habilitadas

    • policy e escopo

    • visibilidade do DNS (path real do DNS)

Regra TAC: caso fechado = timestamp + entidade (host/user) + FQDN + veredito/categoria + ação aplicada no enforcement point.

 

1) Fast triage em 10 minutos (sem achismo)

  1. Fixe o timestamp do evento/teste (exato).

  2. Identifique host/user/IP de origem.

  3. Extraia o FQDN e observe o padrão:

    • muitos domínios “randomizados”/únicos → tende a DGA

    • poucos domínios base, subdomínios longos e variáveis → tende a tunneling

  4. Confirme no log do enforcement point:

    • categoria/veredito (DGA/DNS tunneling/suspicious DNS)

    • ação (Prevent/Detect/Bypass/Allow)

  5. Classifique rapidamente:

    • 1 host com padrão forte → maior chance de comprometimento

    • muitos hosts no mesmo “domínio estranho” → valide CDN/telemetria/SaaS antes de escalar

 

2) Tabela TAC — Sintoma → Causa provável → Como provar

Sintoma no campo Causa provável Como provar (evidência mínima)
Muitos domínios “randômicos”, first-seen DGA/C2 resiliente Log com FQDNs múltiplos + timestamp + ação (Detect/Prevent) + origem (host/user)
Subdomínios muito longos/alta entropia DNS tunneling (payload) Padrão em log/PCAP: labels longos + cadência alta + mesmo domínio base
“Suspeito”, mas não bloqueia Sem enforcement / scope errado / DNS fora do gateway Log mostra Allow/Bypass ou ausência de evento no enforcement point
“Bloqueou”, mas parece falso positivo Domínio legítimo (CDN/telemetria/SaaS) parecido com DGA Evidência de múltiplos hosts acessando o mesmo domínio + validação de legitimidade
Ambiente com ruído e exceções crescendo Governança fraca Exceções sem owner/expiry e sem evidence pack anexado
Resultado inconsistente por rede/usuário DNS path diferente (resolver local, DoH/DoT, split) Host A loga no gateway; Host B sai direto / DoH — comportamento diverge

 

3) DGA (Domain Generation Algorithm) — o que você precisa saber para operar

O que é (no nível certo)

DGA é geração automática de domínios por malware para manter C2 mesmo com bloqueios. A característica operacional é alta rotatividade de domínios “newly seen”.

O que sustenta a detecção (defensável e observável)

  • Features lexicais/estatísticas (entropia, comprimento de labels, distribuição de caracteres)

  • Churn: muitos FQDNs únicos em curto intervalo

  • Contexto: first-seen/newly observed + correlações (quando disponíveis)

Prova TAC mínima para fechar DGA

  • timestamp do teste

  • host/user

  • lista de FQDNs (amostra + contagem em janela curta)

  • categoria/veredito

  • ação aplicada

 

4) DNS Tunneling — o que realmente fecha o caso

O que é (no nível certo)

DNS tunneling = abuso de DNS para exfiltração e/ou C2. A chave é padrão comportamental, não um IOC único.

Sinais técnicos que valem investigação

  • subdomínios longos e pouco “humanos” (payload-like)

  • alta frequência com cadência regular (beaconing)

  • domínio base repetido com label variando

  • baseline por host “quebrado” (um endpoint muda o perfil DNS)

Prova TAC mínima

  • timestamp

  • host/user

  • FQDN + padrão (ex.: 10 exemplos com labels longos)

  • taxa/volume (quando disponível)

  • categoria/veredito

  • ação aplicada

  • (ideal) PCAP/log do resolver para evidenciar o padrão

 

5) Onde buscar evidência (sem depender de memória)

Enforcement (fonte de verdade)

  • SmartLog / SmartEvent / pipeline SIEM

Query lógica (adapte à sua sintaxe):

  • (Action: Prevent OR Detect) AND (Category: "DNS Tunneling" OR "DGA") AND (src:<IP> OR user:<user>) AND (time:<window>)

Correlação

  • sempre por timestamp e entidade (host/user)

  • checar recorrência: 5–15 min em torno do evento

Rede (quando precisar “prova definitiva”)

  • logs do resolver corporativo ou PCAP para:

    • cadência

    • estrutura dos subdomínios

    • volume

 

6) Evidence Pack (copiar/colar) — padrão CheckMates/TAC

Cole isso quando abrir tópico/caso:

  • Versão/Take do gateway:

  • Blades relevantes habilitadas:

  • Timestamp exato do teste:

  • Host / User / IP origem:

  • FQDN(s) (amostra):

  • Categoria/Veredito:

  • Ação aplicada (Prevent/Detect/Bypass/Allow):

  • Policy/Rule/Blade (se log expõe):

  • Recorrência (quantos eventos em X min):

  • Rede: DNS via gateway? resolver local? DoH/DoT?

  • Anexo: screenshot/exports do log no intervalo do teste

 

7) Governança de exceções (onde a maioria dos ambientes “perde maturidade”)

Exceção sem controle vira dívida de risco.

Toda exceção deve ter:

  • escopo (grupo/host — não global por padrão)

  • justificativa

  • owner

  • review/expiry date

  • evidence pack anexado

 

Referências oficiais (Check Point)

  • sk175623 — ThreatCloud DGA protection

  • sk178487 — ThreatCloud DNS Tunneling Protection

  • sk176865 — Check Point response to Log4j RCE

 

Pergunta para a comunidade (para gerar discussão útil)

Na experiência de vocês, o que mais dói hoje?

  1. Falsos positivos em “domínios estranhos” (DGA vs CDN/telemetria), ou

  2. Suspeita de DNS tunneling sem baseline/evidência suficiente para fechar o caso?

(1)
1 Reply
PedroOliveira
Employee
Employee
3 weeks ago

Excelente artigo, Willi!

0 Kudos

Leaderboard

Epsum factorial non deposit quid pro quo hic escorol.

View All ≫
Upcoming Events

    CheckMates Events