¿Qué es la tunelización de DNS?
El sistema de nombres de dominio (DNS) es el protocolo que traduce las URL inteligibles para las personas (como paloaltonetworks.com) en direcciones IP que entiendan las máquinas (como 199.167.52.137).
El DNS es un protocolo crucial y fundacional de internet. Con frecuencia se denomina «el listín telefónico de internet» porque relaciona los nombres de dominio con sus direcciones IP correspondientes (entre otras muchas cosas, tal como se describe en los RFC básicos del protocolo).
La omnipresencia del DNS (acompañada, con frecuencia, de una falta de supervisión) permite comunicar y compartir datos de forma sutil con objetivos diferentes de los legítimos del protocolo. Como cabía esperar, los ciberdelincuentes saben que el uso del protocolo DNS está muy difundido y que este inspira confianza, de ahí la importancia de las soluciones de seguridad DNS.
Además, como al hablar de DNS no se suele pensar en la exfiltración de datos, muchas organizaciones no supervisan el tráfico DNS en busca de actividad maliciosa. En consecuencia, hay diversos tipos de ataques basados en DNS que pueden resultar eficaces contra redes empresariales, y uno de ellos es la tunelización de DNS.
Cómo funciona la tunelización de DNS
Los ataques basados en la tunelización de DNS explotan el protocolo DNS con el fin de tunelizar malware y otros datos a través de un modelo de cliente-servidor.
- El atacante registra un dominio (por ejemplo, sitiomalicioso.es). El servidor del nombres de dominio apunta hacia el servidor del atacante, donde se ha instalado un programa de malware de tunelización.
- El atacante infecta con malware un ordenador, que suele encontrarse detrás del cortafuegos de una empresa. Como el cortafuegos siempre permite la entrada y salida de solicitudes DNS, el ordenador infectado puede enviar una consulta de resolución de DNS. La función de resolución DNS es un servidor que presenta las solicitudes de direcciones IP al servidor raíz y al servidor TLD.
- La resolución DNS dirige la consulta al servidor de comando y control del atacante, donde está instalado el programa de tunelización. En ese momento, se establece una conexión entre la víctima y el atacante mediante la resolución DNS. Este túnel se podrá utilizar para exfiltrar datos y para otros fines maliciosos. Como no hay una conexión directa entre el atacante y la víctima, resulta más difícil dar con el ordenador del atacante.
La tunelización de DNS existe desde hace casi 20 años, y para aprovecharla se han utilizado los programas de malware Morto y Feederbot. Entre los ataques de este tipo de los últimos años, se encuentran los del grupo DarkHydrus, lanzados contra entidades gubernamentales de Oriente Medio en 2018, y OilRig, que empezó a actuar en 2016 y permanece en activo.
Cómo prevenir la tunelización de DNS
El protocolo DNS, un instrumento muy eficaz que se utiliza prácticamente en todas partes, permite a las aplicaciones y los sistemas buscar recursos y servicios con los que interactuar. Brinda una base de comunicación que hace posible el funcionamiento de protocolos más avanzados y de nivel superior, pero a veces no se le presta la suficiente atención desde el punto de vista de la seguridad, sobre todo si tenemos en cuenta la cantidad de malware que se distribuye mediante protocolos de correo electrónico o que se descarga desde la web mediante el HTTP.
Todo esto hace que el DNS brinde una oportunidad de oro a los ciberdelincuentes que buscan un protocolo infravalorado, desatendido y siempre abierto con el fin de aprovecharlo para comunicarse con los hosts atacados.
Las organizaciones tienen varias opciones para defenderse de la tunelización de DNS, como recurrir a la plataforma de seguridad de la red de Palo Alto Networks o a tecnologías de código abierto. La defensa se puede llevar a cabo de numerosas formas diferentes, como las siguientes:
- Bloqueo de nombres de dominio (o direcciones IP o ubicaciones geográficas) según la reputación que se conozca o el peligro que se perciba.
- Reglas relativas a cadenas de consulta DNS de «aspecto raro».
- Reglas relativas a la longitud, el tipo o el tamaño de las consultas DNS entrantes y salientes.
- Endurecimiento general de los sistemas operativos cliente y conocimiento de las capacidades de resolución de nombres, así como de su orden de búsqueda específico.
- Análisis del comportamiento de los sistemas o usuarios para detectar automáticamente anomalías, como el acceso a nuevos dominios, sobre todo cuando el método y la frecuencia de dicho acceso se alejan de lo habitual.
- El servicio DNS Security de Palo Alto Networks, que se centra en bloquear el acceso a nombres de dominio maliciosos.
Prácticas recomendadas de seguridad DNS
- Forme y conciencie al personal encargado de la seguridad
Ponga en marcha un plan de formación y concienciación en materia de seguridad para que sus empleados aprendan a reconocer las amenazas y a tener cuidado al hacer clic en los enlaces para no instalar malware. Hábleles del phishing para que aprendan a evitar los ataques por correo electrónico, o a reconocerlos y dar la voz de alarma cuando se produzcan.
- Implemente un programa de inteligencia sobre amenazas
Familiarícese con todos los riesgos que existen y cree un programa de inteligencia sobre amenazas que le ayude a conocer los distintos tipos de amenazas y técnicas de ataque que se utilizan en la actualidad. Toda esta información le permitirá saber si cuenta con la tecnología adecuada para proteger su red.
- Entienda todo lo que revelan los datos DNS
No se limite a observar el tráfico DNS: de poco sirve recopilar logs de datos DNS si no sabe qué son ni cómo interpretarlos. Si, por el contrario, comprende lo que le dicen los datos, podrá proteger la organización frente a amenazas nunca vistas que afectan a la capa de DNS.
- No se olvide de la resolución DNS
Si un servidor DNS sufre un ataque, podría enviar respuestas falsas para desviar el tráfico a otros sistemas infectados u orquestar un ataque de interposición de tipo «man-in-the-middle».
- Protéjase del riesgo que supone el teletrabajo
Diseñe una estrategia que tenga en cuenta que los teletrabajadores pueden poner en riesgo la información confidencial de la empresa. Pida a los empleados que no utilicen redes wifi desprotegidas, gratuitas o públicas, ya que los ciberdelincuentes podrían interponerse fácilmente entre ellos y el punto de conexión. Adopte la autenticación multifactor y prepárese para afrontar el riesgo de que se produzcan robos o pérdidas de dispositivos.
- Aborde la seguridad de la red desde todos los ángulos
Cuando se trata de proteger la red, adopte una estrategia integral: asegúrese de contar con las capacidades necesarias para afrontar los distintos vectores de amenazas en su red y de que estas se integren fácilmente con todas sus soluciones de seguridad. Cuando evalúe soluciones de distintos proveedores, haga pruebas de concepto para poder compararlas en igualdad de condiciones. Cada entorno tiene sus peculiaridades y, en este momento, no existen pruebas independientes que permitan evaluar la eficacia de la seguridad de la capa DNS de una solución concreta con neutralidad.
- Automatice las respuestas, no solo las alertas
Para proteger correctamente la organización, hay que automatizar las respuestas además de las alertas; de lo contrario, estas no servirán de nada. Como las amenazas son tan rápidas, cuando se detectan podría ser ya demasiado tarde. Es importante que el equipo de seguridad sea capaz de detectar las amenazas automáticamente y de poner en cuarentena los sistemas que hayan podido verse afectados antes de que el daño sea mayor. Para asegurarse de que su organización sigue las prácticas recomendadas y utiliza el servicio DNS Security de Palo Alto Networks del mejor modo posible, realice una evaluación de prácticas recomendadas.
¿Qué puede hacer para evitar que los atacantes utilicen DNS en su contra? Lea nuestro informe técnico para saber qué medidas puede tomar para detener los ataques de DNS.