DNS: O jeito mais fácil de extrair dados?
Uma solicitação de DNS (Sistema de Nomes de Domínio) é o ponto de partida para quase tudo que acontece na internet, então não é uma surpresa que os autores de ameaças se aproveitem do protocolo DNS. Há várias maneiras de abuso de DNS, incluindo a amplificação de DNS, que é usada para ataques distribuídos de negação de serviço, e sequestro de DNS, que é usado para redirecionar uma solicitação de DNS benigna para um domínio mal-intencionado. A extração por DNS é mais avançada, mais direcionada e menos frequentemente encontrada.
Tunelamento de DNS de alta taxa de transferência versus extração de DNS de baixa taxa de transferência
Embora a técnica básica utilizada tanto para o tunelamento de DNS de alta taxa de transferência quanto para a extração de DNS de baixa taxa de transferência sejam bem semelhantes, há diferenças significativas entre elas. Em termos de semelhanças, ambas usam o protocolo DNS para transferir dados não relacionados à consulta de DNS, o que é feito ao anexar os dados adicionais à solicitação de DNS. As duas técnicas aproveitam o fato de que a maioria das organizações não interfere no tráfego de DNS devido à sua função essencial. É aí que terminam as semelhanças.
Quando o tunelamento de DNS de alta taxa de transferência está funcionando, há uma mudança significativa nos volumes de tráfego de DNS para um domínio específico ou para alguns domínios. A duração da solicitação de DNS para o domínio ou domínios aumentará, e o tempo entre essas solicitações será menor. O tunelamento de DNS pode ser usado para fins relativamente benignos (por exemplo, para ignorar um acesso pago de Wi-Fi) ou para fins mal-intencionados (por exemplo, para se comunicar com um servidor de comando e controle [C2]). No entanto, devido às suas caraterísticas, a detecção e o bloqueio de tunelamento de DNS são relativamente simples.
Por outro lado, quando a extração de dados de DNS de baixa taxa de transferência está em execução, não há um aumento significativo nos volumes de tráfego para qualquer domínio único ou domínios, e existem lacunas mais longas entre as solicitações. Por exemplo, um ponto de extremidade infectado por malware só pode ser ativado a cada hora e enviar uma solicitação de DNS com uma breve mensagem anexada ao seu servidor C2. Isso torna a detecção de da extração de DNS de baixa taxa de transferência extremamente difícil sem o número crescente de falsos alertas positivos de segurança.
Por que os invasores gostam da extração de dados de baixa taxa de transferência?
Uma grande limitação de usar o DNS para transferir dados é que o tamanho da mensagem de DNS é limitada a 255 bytes e uma grande porção disso pode ser tomada pelo controle de mensagens de UDP. Entretanto, como mencionado anteriormente, as organizações estão relutantes em interferir com o tráfego de DNS, o que significa que ele geralmente não é monitorado, e mesmo que seja, esse monitoramento provavelmente só é capaz de identificar o tunelamento de alta taxa de transferência.
Esse cenário torna o uso da extração de dados de baixa taxa de transferência muito atraente para os invasores, especialmente quando os dados que estão sendo extraídos são extremamente valiosos, como números de cartão de crédito. Pode levar um tempo para extrair os detalhes do cartão, mas essa abordagem baixa e lenta pode valer a pena.
Proteções contra a extração de DNS
Como o malware de extração de DNS de baixa taxa de transferência pode ser altamente perigoso e potencialmente levar a uma violação de dados significativa e cara para uma organização, a equipe de pesquisa de segurança da Akamai recentemente se concentrou em compreender melhor o problema para criar uma técnica de detecção mais eficaz. Grande parte dessa pesquisa foi abordada em detalhes neste artigo, que vale a pena ler se você deseja um entendimento muito mais detalhado.
Nosso algoritmo de detecção de extração de dados de DNS foi comprovado a partir dessa pesquisa e foi continuamente aprimorado ao longo do tempo para melhorar a velocidade e a precisão da detecção e para minimizar falsos alertas positivos. Ele é usado para analisar continuamente os registros de tráfego de DNS de clientes que implantaram nosso gateway da Web de segurança na nuvem. Quando ocorre uma nova detecção, alertamos proativamente o cliente afetado, e os domínios associados à extração são adicionados à nossa inteligência de ameaças para que todos os clientes sejam posteriormente protegidos.
Em abril de 2022, o sistema destacou uma instância de extração de DNS que mostrou a eficácia do algoritmo. Ele identificou um pico de tráfego de DNS em vários domínios nos registros de tráfego de clientes, onde os dados extraídos estavam sendo anexados a solicitações a subdomínios. O mais interessante foi que o algoritmo detectou isso na primeira hora de atividade e a detecção foi baseada em um número relativamente pequeno ou solicitações para os subdomínios: 1.109 no total.
Depois que as equipes de segurança da Akamai alertaram o cliente para a detecção, soubemos que o cliente estava realizando testes de penetração. A equipe de segurança ficou muito satisfeita com o fato de que o Secure Internet Access Enterprise detectou o comportamento de extração tão rapidamente.
O DNS ainda é um ponto cego de segurança?
Como mencionado anteriormente, muitas organizações ainda estão relutantes em interferir no DNS devido ao risco de quebrar inadvertidamente o tráfego da Internet. Uma abordagem para obter visibilidade e proteger o tráfego de DNS sem esse risco é implementar um serviço de segurança de DNS que analise cada solicitação de DNS e as compare com um banco de dados de inteligência de ameaças em tempo real.
Essa abordagem significa que o tráfego de DNS seguro continua normalmente, mas o tráfego mal-intencionado é bloqueado. Criticamente, ele também permite que os registros de DNS sejam inspecionados quase em tempo real para identificar a extração de dados de DNS de baixa taxa de transferência.
Solicitações de DNS: A Akamai entrega a detecção de uma agulha no palheiro
Na Akamai, adoramos números, e, por isso, achamos que seria interessante analisar como os números de solicitações de DNS foram necessários para detectar a extração comparado com outras estatísticas de DNS da Akamai. A Akamai entrega 7 trilhões de solicitações de DNS todos os dias, e nossos serviços de segurança na Internet bloqueiam proativamente 2,8 bilhões de solicitações de DNS mal-intencionadas.
Para dizer de outra maneira, as 1.109 solicitações de DNS relacionadas à extração são 0,000000015842857% das solicitações diárias de DNS e 0,00003960714286% das solicitações de DNS mal-intencionadas: trata-se verdadeiramente de detectar uma agulha no palheiro.
Saiba mais
Para descobrir como você pode obter rapidamente uma melhor visibilidade e controle sobre seu tráfego DNS para reduzir os riscos, visite https://www.akamai.com/products/secure-internet-access-enterprise e inscreva-se para uma avaliação gratuita de 60 dias.
