DNS: ¿la manera más fácil de exfiltrar datos?
Una solicitud de sistema de nombres de dominio (DNS) es el punto de partida para casi todo lo que sucede en Internet, por lo que no es ninguna sorpresa que quienes lanzan amenazas se aprovechen del protocolo DNS. Hay varias maneras de usar indebidamente el DNS, incluida la amplificación de DNS, que se utiliza para ataques de denegación de servicio distribuidos y el secuestro de DNS, que se utiliza para redirigir una solicitud de DNS benigna a un dominio malicioso. Más avanzada, más dirigida y menos frecuente en el mundo real es la exfiltración de DNS.
Túneles DNS de alto rendimiento frente a exfiltración de DNS de bajo rendimiento
Aunque la técnica básica utilizada tanto para los túneles DNS de alto rendimiento como para la exfiltración de DNS de bajo rendimiento es a grandes rasgos similar, existen diferencias significativas entre ellas. En cuanto a similitudes, ambas utilizan el protocolo DNS para transferir datos que no están relacionados con la consulta DNS, lo que se logra adjuntando datos adicionales a la solicitud DNS. Las dos se aprovechan del hecho de que la mayoría de las organizaciones no interfieren con el tráfico DNS debido a su papel crítico. Pero ahí es donde terminan las similitudes.
Cuando están funcionando los túneles DNS de alto rendimiento, hay un cambio significativo en los volúmenes de tráfico DNS a un dominio específico o a algunos dominios; la longitud de la solicitud de DNS al dominio o dominios aumenta y el tiempo entre las solicitudes es más corto. Los túneles DNS se pueden utilizar para propósitos relativamente benignos (p. ej., para evitar un muro de pago Wi-Fi) o con fines maliciosos (p. ej., para comunicarse con un servidor de mando y control [C2]). Sin embargo, debido a sus características, detectar y bloquear los túneles DNS es relativamente sencillo.
Por el contrario, cuando está funcionando la exfiltración de datos de DNS de bajo rendimiento, no hay un aumento significativo en los volúmenes de tráfico a ningún dominio o dominio único y hay más separación entre las solicitudes. Por ejemplo, un extremo infectado por malware solo puede despertarse cada hora y enviar una solicitud de DNS con un breve mensaje adjunto al servidor C2. Esto hace que la detección de la exfiltración de DNS de bajo rendimiento sea extremadamente difícil sin aumentar la cantidad de falsos positivos de alertas de seguridad.
¿Por qué a los atacantes les gusta la exfiltración de datos de bajo rendimiento?
Una gran limitación del uso de DNS para transferir datos es que la longitud del mensaje DNS está limitada a 255 bytes y una gran cantidad de ellos puede ir a parar a los mensajes de control UDP. Sin embargo, como se ha mencionado anteriormente, las organizaciones son reacias a manipular el tráfico DNS, lo que a menudo significa que no se supervisa; incluso si es así, es muy probable que el control solo pueda identificar túneles de alto rendimiento.
Ese escenario hace que el uso de la exfiltración de datos de bajo rendimiento sea muy atractivo para los atacantes, especialmente cuando los datos que se exfiltran son muy valiosos, como los números de tarjetas de crédito. Es posible que se tarde un tiempo en exfiltrar los detalles de la tarjeta, pero la espera en ese enfoque bajo y lento puede valer la pena.
Protecciones contra la exfiltración de DNS
Debido a que el malware de exfiltración de DNS de bajo rendimiento puede ser muy peligroso y provocar una exfiltración de datos significativa y costosa para una organización, el equipo de investigación de seguridad de Akamai se ha centrado recientemente en comprender mejor el problema para crear una técnica de detección más eficaz. Gran parte de esa investigación se ha tratado en detalle en este documento, que vale la pena leer si también desea una comprensión mucho más profunda.
Nuestro algoritmo de detección de exfiltración de datos de DNS se basa en esa investigación y se ha mejorado continuamente con el tiempo para mejorar la velocidad y la precisión de la detección y minimizar los falsos positivos de alertas. Se utiliza para analizar continuamente los registros de tráfico de DNS de los clientes que han implementado nuestra puerta de enlace web segura en la nube. Cuando se produce una nueva detección, alertamos proactivamente al cliente afectado y los dominios asociados con la exfiltración se agregan a nuestra inteligencia de amenazas, de modo que todos los clientes estén protegidos posteriormente.
En abril de 2022, el sistema destacó una instancia de exfiltración de DNS que mostró lo eficaz que es el algoritmo. Identificó una ráfaga de tráfico DNS en varios dominios en los registros de tráfico del cliente, donde los datos exfiltrados se adjuntaron a las solicitudes a los subdominios. Lo más interesante fue que el algoritmo detectó esto en la primera hora de actividad y la detección se basó en una cantidad relativamente pequeña o en solicitudes a los subdominios: 1109 en total.
Después de que los equipos de seguridad de Akamai alertaran al cliente sobre la detección, supimos que el cliente había realizado pruebas de penetración. El equipo de seguridad estaba encantado de que Secure Internet Access Enterprise hubiera detectado el comportamiento de exfiltración tan rápido.
¿Sigue siendo el DNS un punto ciego de seguridad?
Como se ha mencionado anteriormente, muchas organizaciones siguen siendo reacias a manipular el DNS debido al riesgo de interrumpir inadvertidamente el tráfico de Internet. Un enfoque para obtener visibilidad y asegurar el tráfico de DNS sin ese riesgo es implementar un servicio de seguridad de DNS que analice cada solicitud de DNS realizada y las compare con una base de datos de inteligencia de amenazas en tiempo real.
Este enfoque significa que el tráfico seguro de DNS continúa de manera normal, pero se bloquea el tráfico malicioso. De forma crítica, también permite inspeccionar los registros de DNS casi en tiempo real para identificar la exfiltración de datos de DNS de bajo rendimiento.
Solicitudes de DNS: Akamai proporciona una detección de tipo “aguja en un pajar”
En Akamai nos encantan los números, por lo que pensamos que sería interesante ver la cantidad de solicitudes de DNS que se necesitaron para detectar la exfiltración en comparación con otras estadísticas de DNS de Akamai. Akamai proporciona 7 billones de solicitudes de DNS cada día y nuestros servicios de seguridad de Internet bloquean proactivamente 2800 millones de solicitudes de DNS maliciosas.
Dicho de otra manera: las 1109 solicitudes de DNS relacionadas con la exfiltración son el 0,000000015842857 % de las solicitudes diarias de DNS y el 0,00003960714286 % de las solicitudes de DNS maliciosas: realmente una aguja en un pajar.
Más información
Si desea descubrir cómo obtener rápidamente una mejor visibilidad y control del tráfico de DNS para reducir el riesgo, visite https://www.akamai.com/es/products/secure-internet-access-enterprise para registrarse y disfrutar de una prueba gratuita de 60 días.
