en

Monitore o tráfego do DNS para acabar com o malware

22 September 2014
By Dave Piscitello

Quando existe a oportunidade, os criminosos exploram qualquer serviço ou protocolo da Internet. Fique atento a estes seis sinais de atividades suspeitas no DNS.

Os administradores de TI têm a tarefa ingrata de monitorar dispositivos, hosts e redes em busca de sinais de atividade mal-intencionada. A detecção de intrusão no host e a proteção de pontos periféricos são medidas de segurança essenciais para muitas organizações, mas nada é tão eficaz quanto monitorar o tráfego do DNS para expor um RAT, rootkit, APT, ou outros tipos de malware alojados em suas redes.

Por que o DNS?
Quando existe a oportunidade, os criminosos exploram qualquer serviço ou protocolo da Internet, inclusive o DNS. Eles registram nomes de domínio descartáveis para fazer campanhas de spam e administrar botnets, e utilizam domínios comprometidos para hospedar phishing ou downloads de malware. Eles fazem injeção de consultas maliciosas para explorar servidores de nomes ou atrapalhar a resolução de nomes. Eles fazem injeção de respostas maliciosas para contaminar o cache resolvedor ou ampliar ataques de negação de serviço. Eles até usam o DNS como canal encoberto para a extração de dados ou atualização de malware.

Pode não ser possível acompanhar o ritmo de inovação dos exploradores do DNS, mas você pode ser proativo usando firewalls, IDS de rede ou resolvedores de nomes para rastrear certos indicadores de atividades suspeitas no DNS.

O que você deve procurar?
A composição de consultas e os padrões de tráfego no DNS apresentam sinais de que há atividade maliciosa em suas redes. Por exemplo:

Consultas ao DNS com endereços de origem spoofed (mascarados) ou de endereços cujo uso você não autorizou, mas não têm filtragem de saída, especialmente quando são observadas junto com volumes de consultas ao DNS estranhamente altos, ou consultas ao DNS que usam TCP e não UDP, podem indicar que há hosts infectados na sua rede, envolvidos em um ataque de DDoS (negação de serviço).

Consultas malformadas ao DNS podem indicar um ataque de exploração de vulnerabilidade contra o servidor de nomes ou resolvedor identificado pelo endereço IP de destino. Elas também podem indicar que existem dispositivos funcionando incorretamente em sua rede. As causas de problemas desse tipo podem ser malware ou tentativas malsucedidas de removê-lo.

Consultas ao DNS que exigem a resolução de nomes de domínios maliciosos conhecidos ou nomes com características comuns a algoritmos de geração de domínios (DGA) associados a botnets criminosos e consultas a resolvedores cujo uso você não autorizou, em muitos casos indicam que há hosts infectados em suas redes.

As respostas do DNS também apresentam sinais de que dados suspeitos ou mal-intencionados estão sendo levados aos hosts de suas redes. Por exemplo, características de comprimento ou composição das respostas do DNS podem revelar intenções maliciosas ou criminosas. Por exemplo, se as mensagens de resposta são estranhamente compridas (ataque de amplificação), ou se a resposta ou as seções adicionais da mensagem de resposta são suspeitas (contaminação de cache, canal encoberto).

Respostas do DNS para o seu portfólio de domínios resolvendo endereços IP diferentes dos que você publicou em suas zonas de autorização, respostas de servidores de nomes cuja hospedagem você não autorizou em sua zona, bem como respostas positivas a nomes de suas zonas que deveriam ser resolvidos como erros (NXDOMAIN) podem indicar um sequestro de nome de domínio ou conta de registro, ou uma modificação de resposta do DNSn.

Respostas do DNS de endereços IP suspeitos, por exemplo, endereços de blocos de IP alocados para redes de acesso em banda larga; tráfego de DNS que aparece em portas fora do padrão; número excepcionalmente alto de mensagens de resposta que resolvem domínios com Time to Live (TTL) curto; ou número excepcionalmente alto de respostas contendo "erro de nome" (NXDOMAIN) muitas vezes indicam hosts controlados por botnet, executando malware.

Várias formas de monitoramento do DNS podem expor essas ameaças, muitas em tempo real. Na Parte II, eu explico como implementar mecanismos para detectá-las em firewalls de Internet, usando sistemas de intrusão de rede, análise de tráfego ou dados de registro.

Este artigo foi publicado originalmente no dia 12 de junho de 2014 no site Dark Reading.

Authors

Dave Piscitello