¿Qué es la exfiltración de datos de DNS?

La exfiltración de datos de DNS es un método que utilizan los hackers para robar datos de un sistema de TI o de una red explotando el protocolo del sistema de nombres de dominio (DNS). En un ataque de exfiltración de datos, los hackers eliminan los datos confidenciales del interior de un entorno de TI protegido integrándolos en paquetes DNS. Dado que se suele permitir el tráfico DNS a través de los firewalls y los sistemas de seguridad, los datos maliciosos de los paquetes DNS tienen una alta probabilidad de salir de la organización sin disparar las alertas de seguridad. La exfiltración de datos de DNS suele ser uno de los resultados de los ataques de túneles de DNS. 

El sistema de nombres de dominio (DNS) es responsable de convertir nombres de dominio legibles para un ser humano, como website.com, en direcciones IP, como 2001:db8:3e8:2a3::b63, que pueden leer los ordenadores. Cuando un usuario introduce un nombre de dominio en un navegador web, los servidores recursivos o los agentes de resolución de DNS buscan la dirección IP correspondiente comunicándose con otros servidores de nombres, incluidos los servidores de nombres raíz, los servidores de dominio de nivel superior (TLD) y los servidores de nombres autoritativos. Como alternativa, los servidores DNS pueden proporcionar registros de dirección IP de respuestas DNS anteriores que se han almacenado en su memoria caché. Estas comunicaciones y solicitudes de DNS se suelen permitir a través de firewalls y no están sujetas a una supervisión estricta, lo que las convierte en el vector de ataque ideal para los ciberdelincuentes que buscan robar datos de una red de TI.

En un ataque de exfiltración de datos de DNS, un hacker instala primero malware en una red o un sistema en peligro. Esto se puede lograr haciendo que un usuario dentro de la red haga clic en un enlace o visite un sitio web que contenga malware que seguidamente se descarga en su equipo. Los hackers también pueden vulnerar una red con credenciales robadas e instalar malware en el entorno para tomar el control del dispositivo infectado, convirtiéndolo en un servidor de mando y control.

A continuación, los atacantes utilizan el protocolo DNS para integrar los datos dentro de paquetes en las consultas DNS (por ejemplo, encodedstringofdata.attacker.example.com) que se resuelven en un servidor de nombres de dominio que posee el atacante. Las consultas DNS que contienen datos robados pasan sin ser detectadas a través de firewalls y sistemas de seguridad al servidor de nombres autoritativo del atacante, donde se descodifican los datos exfiltrados y se completa la transferencia.

Los atacantes utilizan varias técnicas para exfiltrar datos a través de DNS. Los atacantes pueden ocultar información confidencial codificándola e incluyéndola en un nombre de subdominio o en datos de registro de recursos. También pueden encapsular los datos dentro de paquetes DNS dividiendo la información en fragmentos más pequeños y enviándolos a través de varias consultas y respuestas de DNS. Pueden integrar los datos alterando el ID de consulta o modificando los encabezados de los paquetes DNS que, posteriormente, serán reconocidos por el servidor del atacante, y este extraerá o descodificará los datos exfiltrados del tráfico DNS alterado.

La exfiltración de datos de bajo rendimiento se refiere a la exfiltración que se produce a una velocidad muy lenta para evitar la detección por parte de los productos de seguridad de la red. Otras formas de ataque a través de DNS, como los túneles de DNS, suelen ser los incidentes de alto rendimiento. Estos provocan un cambio significativo en los volúmenes de tráfico de DNS que puede alertar a los sistemas de seguridad de la presencia de un ataque. En la exfiltración de datos de bajo rendimiento, no se producen picos significativos en los volúmenes de tráfico, ya que un sistema o un terminal infectados solo pueden enviar una solicitud de DNS por hora. Esto hace que esta forma concreta de exfiltración a través DNS sea extremadamente difícil de detectar.

Los equipos de TI pueden evitar la exfiltración de datos siguiendo varias prácticas recomendadas de ciberseguridad.

• Adoptar una Solución de seguridad de DNS. Las soluciones de seguridad de DNS utilizan algoritmos de detección de exfiltración de datos para supervisar continuamente el tráfico y analizar los registros de tráfico de DNS en busca de patrones anómalos o indicadores de riesgo.
• Asegurarse de que los firewalls y los proxies están configurados correctamente. Los firewalls y los proxies deben configurarse para restringir el tráfico de DNS saliente e impedir conexiones no autorizadas a servidores DNS externos.
• Activación de limitación de frecuencia. Limitar la frecuencia de respuesta en los servidores DNS puede mitigar el impacto de las inundaciones DNS y los ataques por amplificación que los hackers suelen utilizar para distraer la atención de sus esfuerzos de exfiltración de datos.
• Implementación de firewalls de DNS. Las soluciones de firewall de DNS inspeccionan el tráfico de DNS en tiempo real y utilizan la inteligencia contra amenazas para bloquear las solicitudes maliciosas y la exfiltración de datos.
• Optimizar las cadencias de aplicación de parches. Mantener actualizados los servidores DNS y el software, y aplicar parches con regularidad, puede corregir las vulnerabilidades que los atacantes pueden explotar al intentar obtener acceso y exfiltrar datos.
• Implementar la formación en materia de seguridad. Dado que el error humano es uno de los factores que más contribuyen al éxito de los ciberataques, la formación en en materia de seguridad puede ayudar a los empleados a evitar aquellos tipos de acciones que permiten a los atacantes vulnerar las defensas y establecer campañas de exfiltración de datos de DNS.