TOP. 1
Spider-Man: Into The Spider-Verse
Spider-Man: Into The Spider-Verse
Amazon Prime Video (Video on Demand); Shameik Moore, Jake M. Johnson, Hailee Steinfeld (Actors)

Hostinger restablece las contrasenas de los clientes debido a una
Se ha abusado del DNS para facilitar la actividad maliciosa. Es omnipresente, confiable y, a menudo, no supervisado o filtrado adecuadamente. DNS también es la mejor manera de abstraer un servicio de una dirección IP específica. Es por eso que la mayoría del malware usa el protocolo para lanzar un ataque.

Mozart, el malware descubierto por MalwareHunterTeam, es el caso clásico de un oponente que usa DNS para comando y control. Su (s) autor (es) usan / usa registros TXT para devolver comandos al malware instalado. Para un desglose completo, Vitali Kremez, jefe de SentinelLabs, descomprime el proceso en su blog.

Sobre el autor

Andrew Wertkin es director de estrategia de BlueCat.

«La razón por la cual [method] es atractivo «, dice el CEO de Farsight Paul Vixie en un video conmigo sobre el tema,» es que el DNS funciona. Hace una pregunta desde cualquier lugar y obtiene la respuesta que todos deberían obtener. »

Los autores de malware apuestan a que las organizaciones no están viendo lo que está a la vista. Me gusta llamar a DNS un imbécil, en el sentido de que hace un gran trabajo respondiendo la pregunta lo mejor que puede, sin ningún tipo de sesgo. Por lo tanto, el DNS puede ser parte de cualquier arquitectura de comando y control.

Cómo funciona Mozart

Mozart establece una línea directa de comunicación entre un cliente infectado y su servidor. Lo hace codificando la dirección IP de un servidor DNS que un cliente infectado resuelve, sin pasar por servidores DNS centrales, reglas de políticas y monitoreo. Los comandos que luego se pasan entre el servidor malicioso y el dispositivo infectado se ocultan en los registros TXT de DNS.

Listas de bloqueo insuficientes

Mozart tiene una dirección IP de servidor DNS codificada. Una estrategia que se basa únicamente en configurar una regla de firewall para bloquear las direcciones IP vinculadas a Mozart u otro malware similar (o cualquier dominio sospechoso), no es la correcta. enfoque En este caso, está configurando su equipo de seguridad para una porción extendida de whack-a-mole, porque se puede iniciar actividad maliciosa en una nueva dirección IP sin fin.

En general, es poco probable que su lista de dominios defectuosos y direcciones IP conocidas mantenga el ritmo de las amenazas emergentes. Su estrategia debe tener esto en cuenta.

Cómo aprovechar DNS para protegerse contra malware

Asegúrese de que puede inspeccionar todo:

Use Mozart como recordatorio, con consecuencias reales, para incorporar las mejores prácticas de DNS en su postura de seguridad. Por un lado, no permita que el tráfico DNS omita los servidores DNS corporativos (y, por lo tanto, la aplicación de supervisión y política).

Bloquee todo el acceso directo fuera del puerto 53, excepto los servidores DNS corporativos designados. Obligar a toda la resolución de nombre de su empresa a pasar por sus resoluciones lo ayudará a mantener su capacidad de monitorear el tráfico y hacer cumplir la política. Específicamente, garantiza que las consultas DNS solo puedan dirigirse a dominios registrados públicamente, en lugar de servidores autohospedados como lo que Mozart ha configurado.

Comparar con la línea de base para inferir el contexto

Las solicitudes de guardado de texto son comunes para varios casos de uso específicos. Más allá de simplemente monitorear consultas a áreas que se sabe que son malas, nuevas o dañinas, las empresas pueden, y deben, buscar anomalías en las líneas de base medidas.

Por ejemplo, si conociera el porcentaje básico de registros TXT que normalmente consulta un cliente Mac y Microsoft, podría detectar más fácilmente las anomalías causadas por el procesamiento de malware de las solicitudes TXT. Además, si conoce los casos de uso típicos de los registros TXT en un contexto comercial (inspección antivirus, monitoreo del rendimiento, integración de una pregunta, etc.), es más fácil detectar lo que podría ser anormal. con la inspección de solicitudes. Los dispositivos corporativos tienen un patrón muy regular con respecto a las solicitudes TXT. Por supuesto, esto varía según el agente antivirus y algunos otros factores, pero en general, es bastante predecible.

Consejo

Este consejo sobre la detección de anomalías no solo se aplica a los registros TXT. También se aplica al intercambio de correo, transferencia de zona u otros registros de recursos de propósito especial. No hay ninguna razón, por ejemplo, para que un dispositivo IoT en la red solicite servidores de correo.

Los dispositivos IoT, especialmente aquellos especialmente diseñados como máquinas de punto de venta (POS), también tienen un conjunto predecible de dominios que interrogan. Establecer una línea de base para cada tipo de dispositivo IoT y monitorear las desviaciones es otra estrategia para sembrar signos de compromiso. También puede considerar bloquear completamente las solicitudes de dispositivos IoT fuera de su conjunto típico.

También mire cuidadosamente los nombres de las solicitudes. Los nombres de las consultas DNS pueden traicionar la actividad de tunelización de datos (que puede incorporar cadenas codificadas directamente en los nombres de las consultas) y señalar si los algoritmos de generación de dominio están trabajando para omitir sus listas de bloqueo.

Finalmente, las respuestas a las consultas, si se establecen en la línea de base, también pueden ser una señal rica para identificar el secuestro de DNS. Dado que el secuestro involucra a un adversario que ingresa a la cadena de resolución de DNS y redirige a los clientes a destinos que pertenecen a un actor malicioso, un cambio repentino en la respuesta o el tipo de respuesta a una solicitud de rutina puede indicar un compromiso

En general, comprender cómo se usa normalmente el DNS en una empresa le permite detectar todo tipo de signos de actividad dañina, como comando y control, túneles, exfiltración, envenenamiento, piratería, etc. Puede que Mozart se haya creado de forma creativa, pero el malware juega con las vulnerabilidades que han existido (y que hemos aprovechado) en entornos corporativos durante años.

Share This