Cuando planifique su estrategia de seguridad, no se olvide de su DNS

Vishnu Borra , Travis Haglund

ground-up view of city buildings

 

Todas las organizaciones, lo reconozcan o no, dependen del sistema del nombre del dominio (DNS). El DNS es lo que le permite a la gente encontrar su sitio web, comprar en su aplicación de comercio electrónico y enviarle un correo electrónico. Es un servicio fundamental, no solo para su empresa, sino para la Internet en su totalidad.

Como tal, tiene sentido que los servidores DNS se hayan convertido en un objetivo común para los ciberdelincuentes:

  • El 82 % de las empresas han experimentado un ataque al DNS el último año.
  • El 63 % de las empresas han experimentado un período de tiempo de inactividad de las aplicaciones como consecuencia de un ataque al DNS.
  • En 2017 y 2018, se informó un secuestro de DNS generalizado, y el objetivo fueron múltiples sectores en 12 países diferentes.
  • El 80 % del malware usa el DNS para establecer una conexión con un servidor de mando y control (C2), a fin de robar datos y propagar malware.

 

Si su empresa depende únicamente de la inclusión en listas negras de nombres de dominio completos (FQDN) para combatir los ataques basados en DNS, siga leyendo. Los agentes maliciosos y los vectores de ataque son cada vez más sofisticados, por lo que su seguridad también debería serlo.

 

Métodos de ataque frecuentes al DNS

En sí mismos, sus servidores DNS no siempre son el objetivo de los ataques basados en DNS. En cambio, suele aprovecharse la vulnerabilidad de la funcionalidad del protocolo DNS, y esto le permite a un atacante extraer datos confidenciales de su ambiente.

A menudo, cuando un usuario dentro de su red visita sin querer un sitio malicioso, parte del malware se instala en el equipo de conexión. Una vez que este se infecta, usa el DNS para conectarse al servidor de C2, a fin de recibir instrucciones y actuar en consecuencia. Una vez que el atacante tiene presencia en su ambiente, aumenta en gran medida el potencial de propagar el malware.

Otros métodos importantes de ataque al DNS incluyen lo siguiente:

  • Secuestro de dominio: Esto puede implicar cambios no autorizados en los registros del DNS o en el registrador de su dominio, lo que desvía el tráfico del servidor original a un nuevo destino (a menudo malicioso).
  • Ataque de inundación de DNS: Esto es una denegación distribuida de servicio (DDoS) que afecta la disponibilidad de los servidores DNS.
  • Spoofing de DNS (envenenamiento de la caché): Los atacantes aprovechan las vulnerabilidades del sistema e intentan inyectar datos maliciosos en la caché de los resolutores del DNS.
  • Tunelización de DNS: Una vez que el equipo está infectado, el malware abusará del DNS, a fin de robar datos confidenciales y recibir instrucciones del servidor de C2 del atacante.

 

Una vulneración reciente del DNS informada por SecureList ilustra el alcance del desafío:

"A mediados de mayo [de 2020], investigadores de Israel informaron una nueva vulnerabilidad del servidor DNS que acechaba al proceso de delegación de DNS. El esquema de explotación de la vulnerabilidad se denominó "NXNSAttack". El hacker envía a un servidor DNS recurrente legítimo una solicitud a varios subdominios dentro de la zona acreditada de su propio servidor DNS malicioso. En respuesta, el servidor malicioso delega la solicitud a un gran número de servidores DNS falsos dentro del dominio objetivo sin especificar sus direcciones de IP. Como consecuencia, el servidor DNS legítimo consulta todos los subdominios sugeridos, lo que lleva a que el tráfico crezca 1620 veces".

 

Qué hace que el DNS sea tan vulnerable

La naturaleza esencial de la funcionalidad del DNS dentro de las organizaciones presenta muchos riesgos en cuanto a las brechas en la seguridad:

  • Debido a que se requiere acceso a Internet 24x7, por lo general, se hace un esfuerzo para garantizar que las operaciones del DNS nunca se interrumpan, ni siquiera por las inspecciones de seguridad.
  • La mayoría de las solicitudes de DNS no están restringidas y, por lo tanto, pueden pasar a través de los dispositivos de seguridad y crear una posible apertura y ruta que los atacantes pueden aprovechar.
  • Algunas organizaciones intentan bloquear los ataques al DNS al crear una lista negra de "nombres de dominios inapropiados". Sin embargo, los atacantes evitan las restricciones usando algoritmos de generación de dominios (DGA), lo que les permite crear y rotar miles de dominios para mantener intacto el C2 entre el cliente y el servidor, incluso, si algunos de los dominios están bloqueados.
  • La inclusión manual en una lista negra de dominios maliciosos que crece de forma constante añade una importante carga administrativa.  

 

Cómo se debe proteger su sistema contra los ataques al DNS

Para hacer frente a esta amenaza creciente, Palo Alto Networks lanzó una nueva función llamada DNS Security, que se utiliza en combinación con la funcionalidad antispyware que se ofrece con la licencia de Threat Prevention. Esta función usa un servidor en la nube que se actualiza en tiempo real a partir de diferentes fuentes para detectar el tráfico a los dominios maliciosos conocidos, como también a los dominios que se crearon a partir de un algoritmo de generación de dominios (DGA).

La función DNS Security toma información valiosa acerca de los dominios maliciosos conocidos de múltiples informes de inteligencia de amenazas confiables y la combina con el machine learning y el análisis predictivo para identificar y bloquear dinámicamente el acceso a los dominios creados por los DGA.

Cuando un cliente envía una solicitud a un dominio malicioso, el firewall de última generación de Palo Alto (con la función DNS Security configurada) intercepta el tráfico y compara la solicitud de DNS con la información dentro de la base de datos en la nube. Si la solicitud aparece en la base de datos en la nube como maliciosa, o si se sospecha de tunelización de DNS, la solicitud de DNS se puede eliminar de forma automática. Esto no solo permite que se detenga la conexión, sino que también permite que un analista sepa que hay un dispositivo en la red que necesita una mayor investigación.

 

Confíe en nuestros expertos

Podemos ayudarlo a tomar el control de su DNS, a través de nuestro servicio gratuito de administración de DNS, incluido con cada cuenta en la nube. Obtenga más información acerca de los servicios de DNS de Rackspace Technology y de nuestra completa variedad de soluciones de seguridad.

 

Proteja su empresa con la ayuda de nuestros expertos.