Che cos'è l'esfiltrazione dei dati del DNS?

L'esfiltrazione dei dati del DNS è un metodo usato dagli hacker per rubare i dati da una rete o un sistema IT sfruttando il protocollo DNS (Domain Name System). In un attacco di esfiltrazione dei dati, gli hacker rimuovono i dati riservati o sensibili dall'interno di un ambiente IT protetto incorporandolo in pacchetti DNS. Poiché il traffico del DNS viene solitamente consentito tramite firewall e sistemi di sicurezza, i dati dannosi presenti nei pacchetti DNS hanno un'elevata possibilità di lasciare l'organizzazione priva di avvisi di sicurezza attivati. L'esfiltrazione dei dati del DNS è spesso uno dei risultati derivanti dagli attacchi di tunneling DNS. 

Il DNS converte i nomi di dominio leggibili dall'uomo, come "sitoweb.com", in indirizzi IP, come 2001:db8:3e8:2a3::b63, che possono essere letti dai computer. Quando un utente immette il nome di un dominio in un browser web, i server DNS ricorsivi o resolver cercano l'indirizzo IP corrispondente comunicando con gli altri server dei nomi, inclusi i server dei nomi radice, i server TLD (Top-Level Domain) e i server dei nomi autoritativi. In alternativa, i server DNS possono fornire i record dell' indirizzo IP delle risposte DNS precedenti che sono state memorizzate nella cache. Queste comunicazioni e le richieste DNS sono, di solito, consentite tramite i firewall e non sono soggette ad un rigoroso monitoraggio, il che le rende un vettore di attacco ideale per i criminali informatici che cercano di sottrarre i dati da una rete IT.

In un attacco di esfiltrazione dei dati del DNS, un hacker installa prima un malware su una rete o un sistema violato forzando un utente interno alla rete a fare clic su un collegamento o a visitare un sito web contenente un malware che viene quindi scaricato sul suo computer. Gli hacker possono anche violare una rete con credenziali rubate e installare il malware all'interno dell'ambiente per assumere il controllo del dispositivo infetto, rendendolo un server CnC (Command and Control).

I criminali usano quindi il protocollo DNS per incorporare i dati all'interno di pacchetti nelle query DNS (ad es., encodedstringofdata.attacker.example.com), che risolvono in un server dei nomi di dominio di proprietà del criminale. Le query DNS contenenti i dati rubati vengono trasmesse nascoste tramite i firewall e i sistemi di sicurezza al server dei nomi autoritativo del criminale, in cui i dati esfiltrati vengono decodificati in modo da completare il trasferimento.

I criminali usano varie tecniche per esfiltrare i dati tramite il DNS. I criminali possono nascondere le informazioni sensibili tramite la codifica e l'inclusione nei dati di una risorsa o nel nome di un sottodominio. Inoltre, possono integrare i dati all'interno di pacchetti DNS dividendo le informazioni in blocchi più piccoli e inviandoli tramite più query e risposte DNS oppure alterando l'ID della query o modificando le intestazioni dei pacchetti DNS, che il server del criminale riconoscerà, quindi estrarrà o decodificherà i dati esfiltrati dal traffico DNS alterato.

L'esfiltrazione dei dati a bassa velocità si verifica ad una velocità molto bassa per eludere il rilevamento effettuato dai prodotti per la sicurezza della rete. Altre forme di attacchi DNS come il tunneling DNS sono spesso incidenti con throughput elevato, che, causando un notevole cambiamento nei volumi del traffico DNS, mettono in allerta i sistemi di sicurezza circa la presenza di un attacco. Nell'esfiltrazione dei dati a bassa velocità, non si verifica un picco significativo nei volumi di traffico poiché un endpoint o un sistema infetto può inviare solo una richiesta DNS una volta all'ora. Pertanto, questa particolare forma di esfiltrazione tramite DNS risulta estremamente difficile da rilevare.

I team IT possono prevenire l'esfiltrazione dei dati seguendo alcune best practice di cybersicurezza.

• Adottare una soluzione per la sicurezza del DNS. Le soluzioni per la sicurezza del DNS utilizzano gli algoritmi di rilevamento dell'esfiltrazione dei dati per monitorare continuamente il traffico e analizzare i registri del traffico DNS alla ricerca di modelli anomali e indicatori di compromissione.
• Assicurarsi che i firewall e i proxy siano configurati correttamente. È necessario configurare i firewall e i proxy in modo da limitare il traffico DNS in uscita e impedire di stabilire connessioni non autorizzate a server DNS esterni.
• Attivare la limitazione della velocità. Limitare la velocità delle risposte sui server DNS può mitigare l'impatto dei flood DNS e degli attacchi di amplificazione, che gli hacker spesso usano per distogliere l'attenzione dai loro obiettivi di esfiltrazione dei dati.
• Implementare firewall per il DNS. Le soluzioni di firewall per il DNS esaminano il traffico DNS in tempo reale e utilizzano l'intelligence sulle minacce per bloccare le richieste dannose e l'esfiltrazione dei dati.
• Ottimizzare la frequenza di applicazione delle patch. Mantenere aggiornati server DNS e software e applicare regolarmente le patch consente di mitigare le vulnerabilità che i criminali possono sfruttare nel tentativo di ottenere l'accesso ed esfiltrare i dati.
• Implementare una formazione sulla consapevolezza della sicurezza. Poiché l'errore umano è uno dei fattori che maggiormente contribuisce alla riuscita degli attacchi informatici, la formazione sulla consapevolezza della sicurezza può aiutare i dipendenti ad evitare tipi di azioni che consentono ai criminali di violare i sistemi di difesa e sferrare campagne di esfiltrazione dei dati del DNS.