El Túnel DNS

Fecha: 10 de enero de 2024



La tunelización de DNS explota el protocolo DNS para tunelizar malware y otros datos a través de un modelo cliente-servidor. El atacante registra un dominio, ejemplo: pagina.com, el servidor de nombres del dominio apunta al servidor del atacante, donde está instalado un programa de malware de túnel; el atacante infecta una computadora, que a menudo se encuentra detrás del firewall de una empresa, con malware, debido a que las solicitudes de DNS siempre pueden entrar y salir del firewall.

La computadora infectada puede enviar una consulta a la resolución de DNS; donde se establece una conexión entre la víctima y el atacante a través del solucionador DNS; este túnel se puede utilizar para filtrar datos o para otros fines maliciosos debido a que no existe una conexión directa entre el atacante y la víctima, lo que puede ser más difícil al rastrear la computadora del agresor.

Características:

  • Enviar datos codificados en la etiqueta de nombre de host de una consulta DNS, enviando datos codificados en el registro de recursos de un paquete de respuesta DNS.
  • Utilizar la comunicación del servidor y la totalización de cualquier tráfico de protocolo de internet (IP) a través del protocolo DNS.
  • Enrutar las solicitudes de DNS al servidor del atacante, proporcionando a los atacantes un canal de comando y control encubierto.
  • Esta técnica es difícil de detectar porque DNS es un protocolo ruidoso, lo que dificulta distinguir una consulta de host normal y el tráfico de DNS normal de una actividad maliciosa.

Recomendaciones:

Existen varias utilidades para poder hacer la comprobación de las técnicas de tunalización de modo de poder verificar que la organización pueda identificar y contestar a esa actividad; generalmente la tecnología debe construirse para detectar tanto técnicas de extracción de datos más complicadas como ataques que utilizan juegos de herramientas precargadas para ello vale mencionar las siguientes sugerencias para evitar la tunelización DNS:

  • Aplicar reglas que utilicen el análisis de carga útil y análisis de tráfico de la red.
  • Implementar una herramienta que incluya una lista negra los destinos de los que se extraerán los datos.
  • Incluir análisis en tiempo real para evaluar cualquier consulta o patrón extraño.
  • Hacer seguimiento del estado de la red mediante la solución protegida por DNS.
  • Un firewall DNS debe configurarse y diseñarse de tal manera que cualquier intrusión se detecte rápidamente.

Referencias:



Tags:  malware tunel dns

Estadísticas de Incidentes

Octubre 2024

VER TODAS

Boletines de Seguridad
Crítico
CVE-2024-9264

La CVE-2024-9264 fue descubierta el 26 de septiembre de 2024 y anunciada públicamente el 18 de octubre de 2024, siendo hallada en Grafana, una popular plataforma de visualización de datos. Esta vulnerabilidad permite a los atacantes remotos no autent

Crítico
CVE-2024-21378

En el 2023 investigadores del NetSpi descubrieron una vulnerabilidad remota que afectaba a Microsoft Outlook, la falla identificada como CVE-2024-21378 permitía a los atacantes autenticados ejecutar códigos maliciosos después de la autenticación, sin

VER TODOS