Qué significa el cifrado DNS para los cazadores de amenazas empresariales


Los albores del DNS sobre la period HTTPS ponen a los equipos de seguridad empresarial y SOC al desafío

En cierto sentido, el proliferación de ataques del servicio de nombres de dominio (DNS) en todo el mundo ha ayudado a crear conciencia sobre un problema profundo en la «fontanería» de web. La infraestructura detrás del DNS adolece de una falta de seguridad incorporada que está poniendo en riesgo a los usuarios de Internet.

Décadas de trabajo en el Extensiones de seguridad del sistema de nombres de dominio Las especificaciones (DNSSEC) han estado en curso en un esfuerzo concertado para encontrar una mejor manera de asegurar el DNS mientras lo mantiene lo suficientemente adaptable como para escalar a redes empresariales e incluso más grandes. Absorción de DNSSECSin embargo, ha sido lento en la mayoría de los países. Quizás por impaciencia por los éxitos incrementales de DNSSEC, algunos han comenzado a recurrir a nuevos métodos para proteger el tráfico DNS, como DNS sobre TLS (Punto), DNSCrypt, DNSCurve y, más recientemente, DNS sobre HTTPS (DoH).

Actualmente, estamos presenciando un batalla por el command sobre el DNS con un impulso para asegurar el DNS sobre HTTPS. Dado que, tradicionalmente, las solicitudes y respuestas de DNS se envían en texto sin formato, los equipos del centro de operaciones de seguridad (SOC) que supervisan las redes corporativas pueden monitorear los dominios que se están consultando y bloquear el acceso de los usuarios a dominios maliciosos. Las solicitudes de DNS de texto sin formato son ciertamente menos privadas, pero la inteligencia desde el nivel de DNS siempre ha sido una fuente de datos crítica para supervisar la seguridad de una crimson.

Con la introducción de DoH, las solicitudes de DNS se cifran a través del protocolo HTTPS, lo que las oculta del alcance fácil de los defensores de la pink. Dejando a un lado otros aspectos de DoH, como la privacidad y centralización del control en internet, analicemos cómo se ve afectada la seguridad de las redes públicas y privadas.

La pérdida de visibilidad desafía la seguridad empresarial

Para los equipos SOC, el efecto negativo de DoH es que los oculta a la comunicación de malware que puede enmascararse más fácilmente como el tráfico HTTPS regular en la red. Como el pionero del DNS, el Dr. Paul Vixie enfatizó en un entrevista con el evangelista de seguridad de ESET Tony Anscombe:

Como operador de purple … necesito ver qué hacen mis usuarios, aplicaciones y dispositivos en DNS para saber cuál de ellos es un intruso, cuál de ellos es malware, cuál de ellos es parte de una botnet, cuál uno de ellos es una cadena de suministro envenenada … Tengo que ser capaz de ver eso para mantener mi crimson segura, por lo que cualquiera que se presente con un proyecto como DNS sobre HTTPS que diga &#39Sí, queremos que sea imposible el operador de pink para interferir con las operaciones de DNS &#39, no entienden mi vida en absoluto.

El malware a menudo se comunica a un comando y regulate (C&C) servidor a través de HTTP y HTTPS – identificado por la foundation de conocimiento MITER ATT & CK como un técnica de protocolo de capa de aplicación estándar. ESET Investigate, por ejemplo, observó PolyglotDuke, un descargador recientemente descubierto empleado por los Dukes (APT29) en Operación fantasma – obtener URL de C&C de servicios de redes sociales como Twitter y Reddit, y luego contactar a esos servidores de C&C para colocar la puerta trasera MiniDuke en las computadoras de las víctimas.

Como un medio para ocultar la naturaleza maliciosa de esta comunicación, los Dukes codificaron las URL de C&C mediante el uso de juegos de caracteres de diferentes idiomas, específicamente japonés, cherokee y chino, de ahí que ESET denomine a este descargador como «PolyglotDuke».

¿Qué pasaría si el malware pudiera ocultar su comunicación detrás de DoH? De hecho, los investigadores de Proofpoint encontraron un nueva actualización del módulo sextortion del malware PsiXBot que utiliza el servicio DoH de Google para obtener direcciones IP de C&C, lo que permite a los atacantes ocultar la consulta DNS detrás de HTTPS. Los Dukes y otros actores de la amenaza podrían potencialmente expandir sus kits de herramientas para usar DoH, lo que obviamente ayudaría a ocultar las comunicaciones de C&C en el futuro de los ojos de los administradores de TI.

El cifrado de DNS, aunque aporta algo bueno, deshabilita algunas de sus protecciones. Esto afecta principalmente a las soluciones de seguridad basadas en la purple, lo que subraya la importancia de contar con una solución de seguridad de punto ultimate de múltiples capas de calidad.

Ganar visibilidad en la comunicación de malware a través de DNS cifrado

Se recomienda a los equipos de SOC que se mantengan informados sobre los últimos esfuerzos de Mozilla, Google y otros para proporcionar DoH. De esta manera, los administradores de TI pueden actualizar el application y las configuraciones de los dispositivos de inspección de tráfico de la purple para bloquear el acceso a los nuevos servicios DoH a medida que surjan. Google, por ejemplo, ofrece DoH sobre ciertas direcciones estables que los administradores pueden bloquear en el nivel de firewall.

Sin embargo, bloquear o deshabilitar servicios DoH conocidos es solo un primer paso para detectar usos maliciosos de solicitudes DNS encriptadas en su pink corporativa. Los equipos SOC más avanzados deberían usar una herramienta de detección y respuesta de punto ultimate (EDR) que les permita identificar y capturar eventos de consulta DNS de aspecto malicioso, entre muchos otros tipos de eventos, e investigar conexiones a servidores C&C maliciosos.

En términos de monitoreo del tráfico DoH desde los navegadores Firefox y Chrome, una forma para que el own de SOC mantenga la visibilidad es mediante la instalación de certificados de seguridad personalizados en los puntos finales y enrutando el tráfico del navegador a través de un proxy. Esto permitiría configurar una solución de inspección de tráfico de crimson que comprenda DoH, pueda realizar una inspección HTTPS para descifrado en línea, inspección, registro, and so on., y reenviar cualquier evento a una herramienta EDR para su posterior análisis.

Tenga en cuenta que, si bien algunos navegadores comprueban los certificados anclados, un certificado de seguridad instalado localmente puede anular las comprobaciones habituales. Sin embargo, ni los navegadores Firefox ni Chrome en el momento de escribir este artículo están verificando los certificados anclados.

Hay otras opciones para tratar con DoH. Similar a la configuración de servidores DNS internos, las empresas también pueden configurar servidores DoH internos que permitan ver todas las solicitudes. Alternativamente, DoH puede simplemente apagarse, como Ofertas de Mozilla para su navegador Firefox.

Las soluciones técnicas para abordar los problemas de seguridad del protocolo DoH son variadas. En el futuro, lo que es very important para el éxito de cualquier equipo de SOC es aprender a apreciar las mayores capacidades que este nuevo protocolo puede prestar a los actores maliciosos, así como sus efectos en cascada sobre la seguridad de la crimson. De esta manera, su equipo de SOC puede establecer una política de seguridad adecuada sobre el uso de DoH para su negocio.

Autor: René Holt, escritor de contenido de relaciones públicas para ESET








Enlace a la noticia unique