Pregunta: ¿Cómo utiliza un actor de amenazas las comunicaciones DNS en los ataques de malware?
Dave Mitchell, CTO, Hyas: La notion de que puede protegerse de todo el malware no es realista, especialmente teniendo en cuenta que el malware es un término standard que no se refiere a ningún exploit, vector, objetivo o metodología específicos. Debido a que la gama de ciberamenazas es tan amplia y variada, no existe una varita mágica que repela todos los ataques. Por lo tanto, es solo cuestión de tiempo antes de que su entorno de purple se vea comprometido, obligándolo a tomar algunas decisiones muy difíciles.
Por ejemplo, en el campo de la medicina, los ataques cibernéticos exitosos no solo afectan la capacidad de funcionamiento de una organización también tienen importantes repercusiones legales y reputacionales. Debido a estas circunstancias, las víctimas de la industria médica terminan pagando las demandas de ransomware a una tasa más alta que cualquier otra industria. Si pudieran detectar indicadores de problemas antes de que se conviertan en ataques completos, las organizaciones de atención médica podrían ahorrar un promedio de $ 10,1 millones por incidente evitado.
La mayoría de las soluciones de seguridad abordan una subsección específica de malware y/o vectores de infiltración, pero ninguna de ellas puede detener todas las amenazas en la puerta. Incluso si pudieran, a veces la puerta se pasa por alto por completo. Como vimos con el exploit Log4J y el reciente compromiso del well-liked paquete Ctx Python, las bibliotecas de recursos «confiables» alojadas en lugares como GitHub pueden verse comprometidas por entidades externas y usarse para entregar cargas útiles de malware a miles de puntos finales sin activar inmediatamente un rojo. bandera.
No todas las amenazas acechan únicamente en el ciberespacio. Volviendo a la industria de la salud como ejemplo, destaca otro vector de ataque que puede eludir toda la seguridad de su perímetro: el acceso físico. La mayoría de los hospitales, consultorios médicos, farmacias y otras instalaciones médicas dependen de terminales y dispositivos en crimson ubicados (o abandonados accidentalmente) en lugares donde los pacientes, visitantes u otros usuarios no autorizados pueden acceder a ellos. En situaciones como estas, no importa qué tan bien defendida esté su purple de ataques externos porque el mal actor puede simplemente insertar una memoria USB o usar un dispositivo registrado para acceder al malware, comprometiendo la red desde adentro.
Esto puede parecer una situación imposible de ganar, pero afortunadamente hay una característica que une a la gran mayoría del malware: un talón de Aquiles compartido llamado Sistema de nombres de dominio (DNS). Más que El 91% del malware utiliza DNS comunicación en algún momento durante el ciclo de vida de su ataque, lo que convierte al DNS en un cuello de botella a must have en la lucha contra las ciberamenazas.
Cuando una pieza de malware llega por primera vez a su purple, intenta evitar la detección. Utiliza este tiempo como una fase de reconocimiento durante la cual intenta expandirse a más dispositivos en el entorno de purple, ubicar recursos críticos y comprometer el almacenamiento de respaldo.
También es durante este tiempo que el malware necesita comunicarse con la infraestructura de comando y command (C2) de los piratas informáticos para recibir instrucciones y reportar la información que ha descubierto sobre la red. Al igual que cualquier tráfico en World-wide-web, para comunicarse con el mundo, debe realizar una solicitud a un servidor de nombres de dominio. Al emplear una solución DNS de protección, los administradores de crimson pueden monitorear el tráfico DNS en busca de indicadores de actividad maliciosa y luego tomar medidas para bloquearlo, ponerlo en cuarentena o interrumpirlo de otra manera.
Desafortunadamente, con el desarrollo constante de nuevas amenazas y el riesgo siempre presente de un ataque iniciado físicamente, las empresas deben prepararse para la inescapable violación exitosa de su crimson. Sin embargo, una vez que el malware ha ingresado a su crimson, es casi seguro que emplee la comunicación DNS en algún momento. Una solución DNS de protección puede detectar estas solicitudes anormales y bloquearlas por completo, lo que hace que el malware se vuelva inerte y le permite comenzar rápidamente el proceso de limpieza de sus sistemas y reforzar sus defensas para la próxima vez.
