DNS: il modo più semplice per esfiltrare i dati?
Una richiesta DNS (Domain Name System) è il punto di partenza praticamente per tutto ciò che succede in Internet, pertanto non sorprende che i criminali riescano a sfruttare il protocollo DNS. Ci sono vari modi per violare il DNS, tra cui l'amplificazione del DNS, che viene usata per gli attacchi DDoS (Distributed Denial-of-Service), e l'hijacking del DNS, che viene usato per reindirizzare una richiesta DNS legittima ad un dominio dannoso. La tecnica più avanzata, mirata e meno frequente è l'esfiltrazione del DNS.
Confronto tra il tunneling DNS ad alta velocità e l'esfiltrazione del DNS a bassa velocità
Anche se la tecnica di base utilizzata sia per il tunneling DNS ad alta velocità che per l'esfiltrazione del DNS a bassa velocità è molto simile, esistono delle sostanziali differenze tra le due modalità. Per quanto riguarda le somiglianze, entrambe le minacce usano il protocollo DNS per trasferire i dati non correlati alla query DNS mediante l'aggiunta di ulteriori dati alla richiesta DNS. Entrambe le minacce sfruttano il fatto che la maggior parte delle organizzazioni non interferisce con il traffico DNS a causa del suo ruolo di importanza critica. Ma qui finiscono le somiglianze.
Una volta avviato il tunneling DNS ad alta velocità, si verifica un importante cambiamento nei volumi del traffico DNS verso uno o più domini, con una maggiore lunghezza delle richieste DNS e una riduzione del tempo che intercorre tra una richiesta e l'altra. È possibile usare il tunneling DNS per scopi più o meno legittimi (ad es., per bypassare un paywall Wi-Fi) o per scopi dannosi (ad es., per comunicare con un server C2 (Command and Control). Tuttavia, a causa delle sue caratteristiche, il tunneling DNS è relativamente diretto.
Per contro, quando viene avviata un'esfiltrazione dei dati DNS a bassa velocità, non si verifica un significativo aumento nei volumi di traffico verso uno o più domini e i tempi tra una richiesta e l'altra sono maggiori. Ad esempio, un endpoint infettato da un malware potrebbe attivarsi ogni ora e inviare una richiesta DNS con un breve messaggio al suo server C2. In tal modo, il rilevamento dell'esfiltrazione del DNS a bassa velocità risulta estremamente difficile senza aumentare il numero dei falsi positivi negli avvisi di sicurezza.
Perché ai criminali piace l'esfiltrazione dei dati a bassa velocità?
Un'importante limitazione dell'utilizzo del DNS per trasferire i dati consiste nel fatto che la lunghezza del messaggio DNS sia limitata a 255 byte, di cui una notevole quantità può risultare costituita dai messaggi di controllo UDP. Tuttavia, come osservato in precedenza, le organizzazioni sono riluttanti a focalizzarsi sul traffico DNS, che, pertanto, spesso non viene monitorato o il monitoraggio, se viene avviato, molto probabilmente riesce solo a identificare gli eventi di tunneling ad alta velocità.
Questo scenario rende l'uso dell'esfiltrazione dei dati a bassa velocità molto attraente per i criminali, specialmente se tali dati sono preziosi, come i numeri delle carte di credito. Per esfiltrare i dati delle carte di credito, ci potrebbe volere un po' di tempo, ma questo approccio potrebbe risultare molto efficace.
Sistemi di protezione dall'esfiltrazione del DNS
Poiché i malware per l'esfiltrazione del DNS possono risultare altamente pericolosi e condurre potenzialmente ad una violazione dei dati significativa e costosa per un'organizzazione, il team addetto alla ricerca sulla sicurezza di Akamai si è recentemente focalizzato sulla necessità di comprendere meglio il problema di realizzare una tecnica di rilevamento più efficace. Gran parte di questa ricerca è stata descritta in dettaglio nel presente documento, che risulta utile da consultare per migliorare la comprensione dell'argomento.
L'algoritmo che ci consente di rilevare gli eventi di esfiltrazione dei dati DNS è stato confermato da tale ricerca e potenziato costantemente nel tempo per migliorare la velocità e l'accuratezza nel rilevamento e per minimizzare i falsi positivi negli avvisi. Viene usato per analizzare costantemente i registri del traffico DNS proveniente dai clienti che hanno implementato la nostra soluzione SWG (Secure Web Gateway) Quando si verifica un nuovo rilevamento, il cliente interessato riceve un avviso in modo proattivo e i domini associati all'esfiltrazione vengono aggiunti alla nostra intelligence sulle minacce in modo da proteggere successivamente tutti i clienti.
Ad aprile 2022, il sistema ha evidenziato un'istanza di esfiltrazione del DNS che ha mostrato tutta l'efficacia dell'algoritmo, identificando un picco di traffico DNS verso alcuni domini nei registri del traffico di un cliente, a cui erano stati aggiunti i dati esfiltrati alle richieste inoltrate ai sottodomini. L'aspetto più interessante è stato rappresentato dal fatto che l'algoritmo l'ha rilevato nella prima ora di attività sulla base di un numero relativamente piccolo di richieste inviate ai sottodomini, pari a 1.109 in totale.
Dopo aver avvisato il cliente del rilevamento effettuato, il team addetto alla sicurezza di Akamai ha scoperto che il cliente aveva condotto i test di penetrazione, rimanendo favorevolmente colpito dal fatto che Secure Internet Access Enterprise aveva rilevato il comportamento di esfiltrazione così rapidamente.
Il DNS è ancora un punto debole della sicurezza?
Come osservato in precedenza, molte organizzazioni sono ancora riluttanti a focalizzarsi sul traffico DNS per evitare di bloccare inavvertitamente il traffico in Internet. Un approccio per aumentare la visibilità e proteggere il traffico DNS senza incorrere in tale rischio consiste nell'implementare un servizio di sicurezza DNS che esamina ogni richiesta DNS effettuata e la confronta con un database di intelligence sulle minacce in tempo reale.
Questo approccio consente al traffico DNS di procedere normalmente, mentre il traffico dannoso viene bloccato. Inoltre, consente di ispezionare i registri DNS quasi in tempo reale per identificare l'esfiltrazione di dati DNS a bassa velocità.
Richieste DNS: Akamai offre un rilevamento accuratissimo
Noi di Akamai amiamo i numeri: ecco perché abbiamo pensato che potrebbe risultare interessante confrontare il numero delle richieste DNS necessario per rilevare un evento di esfiltrazione rispetto ad altri dati DNS di Akamai. Akamai gestisce 7 trilioni di richieste DNS ogni giorno e i nostri servizi di sicurezza Internet bloccano in modo proattivo 2,8 miliardi di richieste DNS dannose.
In altre parole, le 1.109 richieste DNS relative agli eventi di esfiltrazione sono pari allo 0,000000015842857% delle richieste DNS giornaliere e allo 0,00003960714286% delle richieste DNS dannose: un rilevamento davvero accuratissimo.
Ulteriori informazioni
Per scoprire come potete ottenere rapidamente visibilità e controllo sul traffico DNS per ridurre i rischi correlati, visitate il sito https://www.akamai.com/it/products/secure-internet-access-enterprise per richiedere una prova gratuita di 60 giorni.
