El Túnel DNS

Fecha: 10 de enero de 2024



La tunelización de DNS explota el protocolo DNS para tunelizar malware y otros datos a través de un modelo cliente-servidor. El atacante registra un dominio, ejemplo: pagina.com, el servidor de nombres del dominio apunta al servidor del atacante, donde está instalado un programa de malware de túnel; el atacante infecta una computadora, que a menudo se encuentra detrás del firewall de una empresa, con malware, debido a que las solicitudes de DNS siempre pueden entrar y salir del firewall.

La computadora infectada puede enviar una consulta a la resolución de DNS; donde se establece una conexión entre la víctima y el atacante a través del solucionador DNS; este túnel se puede utilizar para filtrar datos o para otros fines maliciosos debido a que no existe una conexión directa entre el atacante y la víctima, lo que puede ser más difícil al rastrear la computadora del agresor.

Características:

  • Enviar datos codificados en la etiqueta de nombre de host de una consulta DNS, enviando datos codificados en el registro de recursos de un paquete de respuesta DNS.
  • Utilizar la comunicación del servidor y la totalización de cualquier tráfico de protocolo de internet (IP) a través del protocolo DNS.
  • Enrutar las solicitudes de DNS al servidor del atacante, proporcionando a los atacantes un canal de comando y control encubierto.
  • Esta técnica es difícil de detectar porque DNS es un protocolo ruidoso, lo que dificulta distinguir una consulta de host normal y el tráfico de DNS normal de una actividad maliciosa.

Recomendaciones:

Existen varias utilidades para poder hacer la comprobación de las técnicas de tunalización de modo de poder verificar que la organización pueda identificar y contestar a esa actividad; generalmente la tecnología debe construirse para detectar tanto técnicas de extracción de datos más complicadas como ataques que utilizan juegos de herramientas precargadas para ello vale mencionar las siguientes sugerencias para evitar la tunelización DNS:

  • Aplicar reglas que utilicen el análisis de carga útil y análisis de tráfico de la red.
  • Implementar una herramienta que incluya una lista negra los destinos de los que se extraerán los datos.
  • Incluir análisis en tiempo real para evaluar cualquier consulta o patrón extraño.
  • Hacer seguimiento del estado de la red mediante la solución protegida por DNS.
  • Un firewall DNS debe configurarse y diseñarse de tal manera que cualquier intrusión se detecte rápidamente.

Referencias:



Tags:  malware tunel dns

Estadísticas de Incidentes

Mayo 2025

VER TODAS

Boletines de Seguridad
Crítico
ESCANEO DE VULNERABILIDADES: ¿CÓMO PROTEGER SERVICIOS Y SISTEMAS WEB?

La seguridad de los servicios y sistemas web es fundamental para garantizar la confidencialidad, integridad y disponibilidad de la información.

Crítico
INVENTARIO DE DISPOSITIVOS Y SOFTWARE: ¿CÓMO MANTENERLO ACTUALIZADO?

Mantener un inventario actualizado de dispositivos y software es fundamental para garantizar la eficiencia operativa, la seguridad y el cumplimiento normativo.

VER TODOS