Глоссарий

DGA
Domain Generation Algorithm (DGA) – алгоритм генерации доменов. Злоумышленники используют DGA для вычисления последовательности доменных имен, к которым будут пытаться подключиться зараженные устройства локальной сети организации. Таким образом предотвращается потеря контроля над взломанной инфраструктурой в случаях, когда домены или IP-адреса злоумышленника, прописанные прямо в коде, блокируются системами безопасности.

DNS-туннелирование
Сокрытие данных и команд от обнаружения системами мониторинга во время передачи сообщений по DNS-протоколу, который злоумышленники могут использовать для построения канала связи с командным сервером.

DoH
DNS over HTTPS (DoH) – протокол для выполнения резолвинга DNS по протоколу HTTPS.

DoT
DNS over TLS (DoT) – протокол для выполнения резолвинга DNS с использованием TLS.

Multitenancy
Архитектура программного обеспечения, позволяющая пользователям из разных организаций работать одновременно и независимо друг от друга. Пользователи имеют доступ только к конфигурации и набору данных их организации.

Авторитативный DNS-сервер
DNS-сервер, который предоставляет механизм обновления, используемый разработчиками для управления публичными именами DNS. Авторитативный DNS-сервер полностью отвечает за домен и предоставляет информацию об IP-адресах в ответ на запросы рекурсивных резолверов.

Внутренний (приватный) домен
Домен, находящийся внутри локальной сети вашей организации.

Внутренняя доменная зона
Доменная зона, находящаяся внутри локальной сети вашей организации.

Внешний (публичный) домен
Домен, доступный из интернета.

Внутренний DNS-сервер
DNS-сервер, обслуживающий внутренние домены.

Индикатор компрометации (IoC)
Объект (или активность) в сети, который с большой долей вероятности указывает на вредоносную активность.

Локация

Тип организации, под которой развернут хотя бы один узел рекурсивного резолвинга в мультитенантном режиме, то есть способный обслуживать несколько организаций одновременно.

Резолвинг
Разрешение доменных имен в IP-адреса с использованием DNS-сервера.

Рекурсивный резолвер
DNS-сервер, который хранит информацию о доменах в кеше или постоянном хранилище в течение определенного времени. Если в кеше рекурсивного резолвера есть информация о запрашиваемом домене, он отвечает на DNS-запрос, возвращая IP-адрес. Если в кеше нет нужной информации, рекурсивный резолвер передает запрос на один или несколько авторитативных DNS-серверов.

Сервер управления ботнетом
C&C-сервер, Command & Control, C2 – командный сервер, с помощью которого злоумышленники, например, контролируют ботнет, управляют вредоносными программами и получают контроль над устройствами локальной сети организации.

Узел рекурсивного резолвинга

Физический или виртуальный сервер, на котором размещен рекурсивный резолвер.

Эксфильтрация данных
Несанкционированное копирование, передача или получение данных с устройства жертвы. Как правило, при передаче данных злоумышленники сжимают и шифруют их, чтобы избежать обнаружения.