Los ciberdelincuentes están aprovechando cada vez más el túnel DNS (sistema de nombres de dominio) para establecer canales de comunicación encubiertos que eviten las medidas de seguridad de la red tradicionales.
Esta técnica sofisticada explota la confianza fundamental colocada en el tráfico DNS, que generalmente pasa a través de firewalls corporativos con una inspección mínima debido a su papel esencial en la comunicación por Internet.
Control de llave
1. El túnel DNS esconde datos maliciosos en consultas DNS para evitar los firewalls sin detectar.
2. Herramientas de ataque como Cobalt Strike Exploit DNS para comunicación encubierta C2 y robo de datos.
3. La detección de ML identifica patrones de túneles en segundos a través del análisis de consultas.
Cómo el túnel DNS permite operaciones encubiertas
InfoBlox informes Esa túnel DNS implica codificar datos maliciosos dentro de consultas y respuestas de DNS legítimas, creando una vía de comunicación sigilosa entre los sistemas comprometidos y los servidores controlados por los atacantes.
Para establecer esta infraestructura, los actores de amenaza deben controlar el servidor de nombres autorizados de un dominio, permitiendo que el malware en los sistemas de víctimas realice búsquedas periódicas que desencadenan acciones específicas basadas en las respuestas recibidas.
Operación DNS
El proceso explota la naturaleza recursiva de la resolución DNS, donde las consultas pasan a través de múltiples servidores antes de llegar a su destino.
La respuesta del servidor podría incluir un registro TXT que contiene comandos codificados, como ON2WI3ZAJWSAL3FORRS643IMFSG65YK, que, cuando se decodifica, podría instruir al sistema comprometido a ejecutar comandos.
Captura de paquetes que se muestra en la exfiltración de archivos de Wireshark
Los investigadores de seguridad han identificado varias familias de túneles de DNS comúnmente utilizadas en ataques del mundo real.
Cobalt Strike, una herramienta de prueba de penetración popular frecuentemente abusada por los actores de amenaza, representa el 26% de la actividad de túneles detectados y utiliza consultas codificadas con hexadecimas con prefijos personalizables como “Post” o “API”.
La herramienta realiza Beaconing usando un registro y operaciones de comando y control a través de registros TXT. DNSCAT2, que representa el 13% del tráfico de túneles observado, crea túneles DNS cifrados utilizando varios tipos de consultas, incluidos los registros A, TXT, CNAME y MX.
Otras herramientas notables incluyen yodo (tasa de detección del 24%), que tunda el tráfico IPv4 sobre DNS y ha sido utilizado por actores de estado-nación y Sliver (tasa de detección del 12%), un marco multiplataforma C2 con capacidades avanzadas de túnel de DNS.
Las defensas de seguridad tradicionales luchan para identificar el túnel DNS porque el tráfico parece legítimo y utiliza protocolos DNS estándar.
Sin embargo, los algoritmos avanzados de aprendizaje automático pueden detectar estos canales encubiertos analizando los patrones de consulta y los comportamientos de respuesta.
Los sistemas de detección modernos pueden identificar dominios de túneles a los pocos minutos de la activación, a menudo antes de que se complete el apretón de manos inicial.
El desafío radica en distinguir el túnel malicioso del uso legítimo de DNS, ya que algunas herramientas de seguridad y soluciones antivirus también utilizan DNS para consultas de inteligencia de amenazas.
Los equipos de seguridad deben implementar mecanismos de detección especializados que puedan diferenciar entre el tráfico DNS legítimo y los canales de comunicación encubierta mientras mantienen la funcionalidad de la red.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
