El Túnel DNS

Fecha: 10 de enero de 2024



La tunelización de DNS explota el protocolo DNS para tunelizar malware y otros datos a través de un modelo cliente-servidor. El atacante registra un dominio, ejemplo: pagina.com, el servidor de nombres del dominio apunta al servidor del atacante, donde está instalado un programa de malware de túnel; el atacante infecta una computadora, que a menudo se encuentra detrás del firewall de una empresa, con malware, debido a que las solicitudes de DNS siempre pueden entrar y salir del firewall.

La computadora infectada puede enviar una consulta a la resolución de DNS; donde se establece una conexión entre la víctima y el atacante a través del solucionador DNS; este túnel se puede utilizar para filtrar datos o para otros fines maliciosos debido a que no existe una conexión directa entre el atacante y la víctima, lo que puede ser más difícil al rastrear la computadora del agresor.

Características:

  • Enviar datos codificados en la etiqueta de nombre de host de una consulta DNS, enviando datos codificados en el registro de recursos de un paquete de respuesta DNS.
  • Utilizar la comunicación del servidor y la totalización de cualquier tráfico de protocolo de internet (IP) a través del protocolo DNS.
  • Enrutar las solicitudes de DNS al servidor del atacante, proporcionando a los atacantes un canal de comando y control encubierto.
  • Esta técnica es difícil de detectar porque DNS es un protocolo ruidoso, lo que dificulta distinguir una consulta de host normal y el tráfico de DNS normal de una actividad maliciosa.

Recomendaciones:

Existen varias utilidades para poder hacer la comprobación de las técnicas de tunalización de modo de poder verificar que la organización pueda identificar y contestar a esa actividad; generalmente la tecnología debe construirse para detectar tanto técnicas de extracción de datos más complicadas como ataques que utilizan juegos de herramientas precargadas para ello vale mencionar las siguientes sugerencias para evitar la tunelización DNS:

  • Aplicar reglas que utilicen el análisis de carga útil y análisis de tráfico de la red.
  • Implementar una herramienta que incluya una lista negra los destinos de los que se extraerán los datos.
  • Incluir análisis en tiempo real para evaluar cualquier consulta o patrón extraño.
  • Hacer seguimiento del estado de la red mediante la solución protegida por DNS.
  • Un firewall DNS debe configurarse y diseñarse de tal manera que cualquier intrusión se detecte rápidamente.

Referencias:



Tags:  malware tunel dns

Estadísticas de Incidentes

Octubre 2025

VER TODAS

Boletines de Seguridad
Crítico
TECNOLÓGICAS SUSCEPTIBLES DE ANÁLISIS FORENSES: AVANCES Y APLICACIONES

En el marco del Compendio de Protocolos de Actuación para el Fortalecimiento de la Investigación Penal en Venezuela, se destaca la importancia de las tecnologías susceptibles de análisis forenses como herramientas clave para la investigación criminal

Crítico
AUTOPSY: HERRAMIENTA ESENCIAL PARA EL ANÁLISIS FORENSE DIGITAL

La cibercriminalidad se ha sofisticado con el tiempo, lo que ha hecho que la informática forense sea clave para investigar delitos digitales. Autopsy, una plataforma de código abierto, ha emergido como una herramienta fundamental para analizar dispos

VER TODOS