Skip to main content

Monitoree el tráfico del DNS y puede capturar UNA RATA

Los delincuentes explotarán cualquier servicio o protocolo de Internet en cuanto se les presente la oportunidad. Aquí hay seis signos de actividad sospechosa que se deben observar en el DNS.

Los administradores de TI tienen la ingrata tarea de tener que vigilar dispositivos, hosts y redes en busca de signos de actividad maliciosa. La detección de intrusión al host y la protección de puntos finales pueden ser medidas de seguridad indispensables para muchas organizaciones, pero no hay nada como monitorear el tráfico del DNS si desea exponer una RATA, un rootkit, una amenaza persistente avanzada (APT) u otro software malicioso que se haya alojado en sus redes.

¿Por qué el DNS?
Los delincuentes explotarán cualquier servicio o protocolo de Internet en cuanto se les presente la oportunidad y esto incluye el DNS. Registran nombres de dominio descartables para campañas de correo no deseado y administración de botnet, y utilizan dominios comprometidos para suplantación de identidad (phishing) del host o descargas de software malicioso. Insertan consultas maliciosas para explotar servidores de nombres o afectar la resolución de nombres. Insertan respuestas astutas para envenenar cachés de resolución o amplificar ataques de denegación de servicio. Incluso utilizan el DNS como un canal encubierto para exfiltración de datos o actualizaciones de software malicioso.

Es posible que no pueda seguir el ritmo de cada explotación nueva del DNS pero puede ser proactivo al usar firewalls, sistemas de detección de intrusos (IDS) basados en red o resolutores de nombres a fin de informar ciertos indicadores de actividad sospechosa del DNS.

¿Qué busca?
La composición de consultas del DNS o los patrones de tráfico ofrecen signos de que existe actividad sospechosa o maliciosa en sus redes. Por ejemplo:

Las consultas de DNS desde direcciones de origen falsificadas o direcciones que usted no ha autorizado su uso pero no filtran el egreso especialmente cuando se observan junto con un volumen inusualmente alto de consultas de DNS o consultas de DNS que utilizan TCP en vez de UDP pueden indicar que los hosts infectados en su red participan en un ataque de DDoS.

Las consultas de DNS mal conformado pueden ser síntomas de un ataque de explotación de vulnerabilidad contra el servidor de nombres o resolutor identificado por la dirección IP de destino. Asimismo, pueden indicar que tienen dispositivos con funcionamiento incorrecto en su red. Las causas de los problemas de estos tipos pueden ser software malicioso o intentos frustrados para eliminar el software malicioso.

Las consultas de DNS que solicitan resolución de nombres de dominios maliciosos conocidos o nombres con características comunes a algoritmos de generación de dominios (DGA) asociados con botnets delictivos y consultas a resolutores que usted no autorizó su uso en muchos casos son indicadores obvios de hosts infectados en sus redes.

Las respuestas de DNS también ofrecen signos de que se entregan datos sospechosos o maliciosos a los hosts en sus redes. Por ejemplo, las características de longitud o composición de respuestas de DNS pueden revelar una intención maliciosa o delictiva. Por ejemplo, los mensajes de respuesta son inusualmente largos (ataque de amplificación) o la respuesta o secciones adicionales del mensaje de respuesta son sospechosas (envenenamiento de la caché, canal encubierto).

Las respuestas de DNS para su propia cartera de dominios que se resuelven a direcciones IP que son diferentes de lo que publicó en sus zonas autoritativas, las respuestas de servidores de nombres que no autorizó para alojar su zona y las respuestas positivas a nombres en sus zonas que deben resolverse a error de nombre (NXDOMAIN) pueden indicar un secuestro de nombre de dominio o cuenta de registro o una modificación de respuesta del DNS.

Las respuestas de DNS de direcciones IP sospechosas, por ejemplo, direcciones de bloques IP que se asignan a la red de acceso de banda ancha, el tráfico de DNS que aparece en un puerto no estándar, una cantidad inusualmente alta de mensajes de respuesta que resuelven dominios con breves tiempos de vida (TTL) o un número inusualmente alto de respuestas que contienen "error de nombre" (NXDOMAIN) son indicadores frecuentes de hosts infectados y controlados por botnets que ejecutan software malicioso.

Diversas formas de monitoreo del DNS pueden exponer estas amenazas, muchas en tiempo real. En la Part II, analizo cómo se pueden implementar mecanismos para detectarlas en firewalls de Internet, mediante sistemas de intrusión de red, análisis del tráfico o datos de registro.

Este artículo se publicó originalmente el 12 de junio de 2014 en Dark Reading.

Comments

    Domain Name System
    Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."