<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
<meta content="text/html; charset=Windows-1252">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style>
<!--
@font-face
        {font-family:"Cambria Math"}
@font-face
        {font-family:Calibri}
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif}
a:link, span.MsoHyperlink
        {color:#0563C1;
        text-decoration:underline}
a:visited, span.MsoHyperlinkFollowed
        {color:#954F72;
        text-decoration:underline}
span.EmailStyle17
        {font-family:"Calibri",sans-serif;
        color:windowtext}
.MsoChpDefault
        {font-family:"Calibri",sans-serif}
@page WordSection1
        {margin:1.0in 1.0in 1.0in 1.0in}
div.WordSection1
        {}
-->
</style>
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div id="compose-container" itemscope="" itemtype="https://schema.org/EmailMessage" style="direction:ltr">
<span itemprop="creator" itemscope="" itemtype="https://schema.org/Organization"><span itemprop="name"></span></span>
<div>
<div>
<div style="direction:ltr">These rules detect DNS queries generated from the protected/home network to domain(s) ending with top-level domains (TLD) “win”, “top”, and “tk”. Depending on your environment, domains under these TLDs might be suspicious, specifically
 the ones with “win” and “top”.</div>
<div><br>
</div>
<div style="direction:ltr">You need to identify the sources of these queries (obviously not the DNS servers, but the clients requesting the domains) and determine their legitimacy based on your environment and security requirements. Most often, I have seen
 these originating from mail gateways due the sheer amount of spam sent from these domains. Your environment maybe different.</div>
</div>
<div><br>
</div>
<div class="acompli_signature"></div>
</div>
</div>
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" color="#000000" style="font-size:11pt"><b>From:</b> Snort-sigs <snort-sigs-bounces@lists.snort.org> on behalf of Weissenburger, Steve <scweissen@tegna.com><br>
<b>Sent:</b> Tuesday, December 5, 2017 8:44:53 PM<br>
<b>To:</b> snort-sigs@lists.snort.org<br>
<b>Subject:</b> [Snort-sigs] indicator DNS queries</font>
<div> </div>
</div>
<div>
<div class="WordSection1">
<p class="MsoNormal">Hello,</p>
<p class="MsoNormal">I’m being hit with these three snort rules and trying to find more info on what exactly these are doing but coming up empty. Can anyone provide more insight? I’m a snort newbie.</p>
<p class="MsoNormal"> </p>
<p class="MsoNormal">Thanks,</p>
<p class="MsoNormal">Steve</p>
<p class="MsoNormal"> </p>
<p class="MsoNormal"><span style="color:#C00000">INDICATOR-COMPROMISE Suspicious .win dns query (1:44077:1)</span></p>
<p class="MsoNormal"><span style="color:#C00000">INDICATOR-COMPROMISE Suspicious .top dns query (1:43687:1)</span></p>
<p class="MsoNormal"><span style="color:#C00000">INDICATOR-COMPROMISE Suspicious .tk dns query (1:39867:3)</span></p>
<p class="MsoNormal"><span style="color:#C00000"> </span></p>
</div>
</div>
</body>
</html>