Exfiltración de datos vía DNS…
La exfiltración de datos es una de las vías usadas por intrusos informáticos para obtener información valiosa de una organización. En tiempos modernos se ha estado practicando a través del Sistema de nombres de dominio (DNS). Para lograr esto; últimamente se usa el protocolo DNS el cual es manipulado para actuar como un protocolo de “transferencia de archivos”. El tráfico de DNS por defecto, se considera legítimo. La mayoría de las empresas ni siquiera saben que está siendo víctima de una exfiltración hasta que es demasiado tarde.
Un reciente informe de amenazas de DNS reveló que el 25% de las empresas han experimentado una filtración de datos a través de DNS. De ese 25%, el 14% de esas filtraciones habría robado información confidencial de los clientes, mientras que el 11% había robado la propiedad intelectual.
Además, el informe devela que la mayoría de las empresas no instala los parches necesarios en sus servidores DNS y solo el 86% aplicó la mitad de los parches necesarios.
Está claro que las organizaciones deben comenzar a trabajar de manera ofensiva para identificar y detener la exfiltración o de lo contrario pueden agregar su marca a la lista de nombres que han sido afectados. La última gran víctima fue Equifax, por cierto.
Los intrusos informáticos suelen incrustar datos en solicitudes recursivas de DNS, permitiendo al atacante aprovecharse utilizando cualquier servidor de nombres público, legítimo o no. Probablemente usando un pequeño fragmento de código incrustado como un malware en la máquina del cliente, se corta el conjunto de datos para extraerlo en pequeños fragmentos. Estos fragmentos están codificados con la parte de la etiqueta de las consultas DNS generadas, que se envían al Local DNS Resolver. El Resolver reenvía la solicitud al Servidor de nombres del dominio, que es controlado por el atacante porque las consultas generadas no se almacenan en caché. Estas consultas pueden identificarse fácilmente en los registros de cualquier servidor de nombres DNS y luego analizarse para reconstruir el conjunto de datos original decodificando las etiquetas en el orden correcto.
Otra forma de extraer datos es a través del túnel DNS, haciendo uso del mismo mecanismo de abuso, pero que además permite la comunicación bidireccional, maniobra que evita la seguridad de la red y crea una puerta trasera de punto a punto entre el atacante y la víctima.
Este mecanismo es menos discreto y requiere la ejecución de un software específico tanto en el cliente como en el servidor, como por ejemplo el protocolo FTP (22), SCP (22) y TFTP (69) para exportar los datos recopilados dentro del tráfico DNS, y colocarlos fuera de la red. También codifica datos en servidores de nombres alternativos, ofreciendo a los hackers un centro de comando y control para sus herramientas. Este mecanismo es más lento que el primero, pero se puede usar para extraer datos de alto valor como números de seguro social, números de tarjetas de crédito u otros documentos que luego se pueden vender.
Las empresas deben estar atentas a las solicitudes y respuestas irregulares que entran y salen de la red. Revisar los datos de las transacciones y buscar patrones específicos en el tráfico en tiempo real puede detectar indicadores de creación de túneles. De esta manera los ataques se bloqueen tan pronto como se detecten, sin bloquear el tráfico legítimo. En segundo lugar, el tráfico no autorizado es una clave para determinar si su empresa puede tener datos extraídos.
En el análisis de tráfico se analizan múltiples solicitudes y respuestas a lo largo del tiempo y se analiza la cantidad, carga y frecuencia de esas solicitudes, lo que también puede dar indicios de la existencia de un túnel. El análisis de tráfico proporciona datos históricos -número de nombres de host por dominio, ubicación de solicitudes, etc.-, que pueden confirmar si la exfiltración ocurrió o no. Es muy recomendado utilizar sistemas de filtración de DNS que puedan verificar los enlaces con una lista negra en tiempo real y validar automáticamente si una consulta de DNS es confiable o representa un riesgo de robo de datos.
En caso de que se encuentre actividad maliciosa, es importante actuar rápidamente y tener un plan para detener y mitigar la violación. En el proceso de actuación se deben incluir 3 componentes importantes: Primero, asegúrese de realizar la supervisión general de la red y el análisis del tráfico del DNS, para que los hosts internos no puedan resolver dominios externos. Segundo, analizar la carga útil de DNS y el tráfico de red por cliente para garantizar que puede manejar la resolución de dominios externos. Tercero, asegúrese de que su empresa realice una evaluación de seguridad para evitar futuras infracciones. Esto incluye tener un conjunto separado de servidores recursivos configurados para resolver registros externos o bien contratar servicios de DNS en la nube.
El DNS es la piedra angular de las redes, incluida la Internet, aunque la tecnica de exfiltracion no es nueva, se usa cada vez más para realizar ataques, particularmente para extraer datos valiosos… Esto ha impulsado el nacimiento de nuevas formas como DNS sobre HTTPS sobre la cual escribi hace unos dias…
