El Túnel DNS


Fecha: 10 de enero de 2024



La tunelización de DNS explota el protocolo DNS para tunelizar malware y otros datos a través de un modelo cliente-servidor. El atacante registra un dominio, ejemplo: pagina.com, el servidor de nombres del dominio apunta al servidor del atacante, donde está instalado un programa de malware de túnel; el atacante infecta una computadora, que a menudo se encuentra detrás del firewall de una empresa, con malware, debido a que las solicitudes de DNS siempre pueden entrar y salir del firewall.

La computadora infectada puede enviar una consulta a la resolución de DNS; donde se establece una conexión entre la víctima y el atacante a través del solucionador DNS; este túnel se puede utilizar para filtrar datos o para otros fines maliciosos debido a que no existe una conexión directa entre el atacante y la víctima, lo que puede ser más difícil al rastrear la computadora del agresor.

Características:

  • Enviar datos codificados en la etiqueta de nombre de host de una consulta DNS, enviando datos codificados en el registro de recursos de un paquete de respuesta DNS.
  • Utilizar la comunicación del servidor y la totalización de cualquier tráfico de protocolo de internet (IP) a través del protocolo DNS.
  • Enrutar las solicitudes de DNS al servidor del atacante, proporcionando a los atacantes un canal de comando y control encubierto.
  • Esta técnica es difícil de detectar porque DNS es un protocolo ruidoso, lo que dificulta distinguir una consulta de host normal y el tráfico de DNS normal de una actividad maliciosa.

Recomendaciones:

Existen varias utilidades para poder hacer la comprobación de las técnicas de tunalización de modo de poder verificar que la organización pueda identificar y contestar a esa actividad; generalmente la tecnología debe construirse para detectar tanto técnicas de extracción de datos más complicadas como ataques que utilizan juegos de herramientas precargadas para ello vale mencionar las siguientes sugerencias para evitar la tunelización DNS:

  • Aplicar reglas que utilicen el análisis de carga útil y análisis de tráfico de la red.
  • Implementar una herramienta que incluya una lista negra los destinos de los que se extraerán los datos.
  • Incluir análisis en tiempo real para evaluar cualquier consulta o patrón extraño.
  • Hacer seguimiento del estado de la red mediante la solución protegida por DNS.
  • Un firewall DNS debe configurarse y diseñarse de tal manera que cualquier intrusión se detecte rápidamente.


Referencias:



Tags:  malware tunel dns


Julio 2024

Crítico
CVE-2023-6000

La vulnerabilidad CVE-2023-6000, también conocida como Popup Builder XSS, es una falla deseguridad crítica que afecta a las versiones anteriores a la 4.2.3 del complemento Popup Builder para WordPress.

Crítico
CVE-2023-50387

Aunque la vulnerabilidad fue pública recientemente, esta fue descubierta en diciembre de 2023 y registrada como CVE-2023-50387. Se le asignó una puntuación CVSS 3.1 de 7,5 y una clasificación de gravedad "Alta".