Los ataques contra el Sistema de Nombres de Dominio (DNS) en los que actores maliciosos explotan vulnerabilidades en el protocolo DNS de Internet son muy comunes y costosos.

El Sistema de Nombres de Dominio (Domain Name System) está bajo constante ataque y estos ataques parecen no tener fin a medida que las amenazas se vuelven más sofisticadas. DNS es tanto como la guía telefónica de Internet, es la parte de la infraestructura global de Internet que traduce los nombres conocidos en números que las computadoras necesitan para acceder a un sitio web o enviar correos electrónicos. Si bien el DNS ha sido durante mucho tiempo el objetivo de ataques diseñados para robar todo tipo de información corporativa y privada, las amenazas que surgieron durante el último año indican un empeoramiento de la situación.

Compruebe también:

El trabajo de DNS es traducir un término que un usuario puede ingresar en un campo de búsqueda (conocido como nombre legible por humanos) en la cadena de números adecuada (dirección IP) que el dispositivo necesita para acceder a un sitio web o enviar correo electrónico. Los ataques a estos sistemas irremplazables pueden ser extremadamente maliciosos.

Una encuesta de IDC de 2021 de más de 1100 organizaciones en América del Norte, Europa y la región de Asia-Pacífico encontró que el 87 % de ellas había experimentado ataques de DNS. El costo promedio de cada ataque fue de alrededor de $950 000 para todas las regiones y de alrededor de $1 millón para las organizaciones de América del Norte.

¿Qué es el DNS y cómo funciona?

El informe también señaló que las organizaciones de todas las industrias experimentaron un promedio de 7,6 ataques durante el último año.

La transición de COVID-19 al trabajo fuera del sitio y la respuesta de las empresas para mover recursos a la nube para aumentar su disponibilidad se han convertido en nuevos objetivos para los atacantes, según el informe.

El estudio también encontró un fuerte aumento en el robo de datos a través de DNS: el 26% de las organizaciones informaron haber robado información confidencial de los clientes, frente al 16% en 2020.

Presentamos los tipos más comunes de ataques DNS.

DNS Boost desencadena ataques DDOS

Un ataque de amplificación de DNS es una forma común de denegación de servicio distribuida (DDoS) que utiliza servidores DNS abiertos y disponibles públicamente para sobrecargar el sistema de destino con tráfico de respuesta de DNS.

Según la Agencia de Infraestructura y Seguridad Cibernética (CISA), que lidera los esfuerzos de EE. UU. para aumentar la resiliencia de la infraestructura física y electrónica del país, un atacante envía una solicitud de búsqueda para un servidor DNS abierto para un nombre DNS con una dirección de origen configurada para dirección de destino.

Cuando el servidor DNS envía una respuesta al registro DNS, se envía al destino. CISA dijo que los atacantes generalmente envían una solicitud para obtener la mayor cantidad de información de área posible para maximizar el efecto de pulido. En la mayoría de los ataques de este tipo observados por el US-CERT, las consultas diseñadas que envían los atacantes son del tipo «cualquiera», que devuelve toda la información de la zona DNS conocida en una única consulta.

Dado que el volumen de respuesta es mucho mayor que las solicitudes, el atacante puede aumentar el volumen de tráfico dirigido a los sistemas de destino. Según CISA, mediante el uso de botnets para generar una gran cantidad de consultas de DNS personalizadas, un atacante puede generar un tráfico de red enorme sin mucho esfuerzo.

Dado que las respuestas son datos legítimos que provienen de servidores importantes, dijo la agencia, es muy difícil prevenir este tipo de ataques. La forma más común de este ataque observada por el US-CERT son los servidores DNS que están configurados para permitir la resolución de problemas recursivos sin restricciones de cualquier cliente en Internet. CISA señala que los ataques también pueden tener como objetivo servidores de nombres confiables que no brindan una solución de problemas frecuente.

Suplantación de DNS/corrupción de caché

Usando la suplantación de DNS, también conocida como corrupción de caché, los malos actores usan las debilidades en los servidores DNS para secuestrarlos. Al explotar la corrupción de caché, los atacantes inyectan datos maliciosos en los sistemas de caché de resolución de DNS en un intento de redirigir a los usuarios a los sitios propiedad de los atacantes. Los atacantes podrían entonces robar datos personales o interceptar otra información.

Cuando los atacantes obtienen el control del servidor DNS, pueden modificar la información en el caché (esto es un envenenamiento de DNS). El código de corrupción de caché de DNS se encuentra a menudo en las URL enviadas en correos electrónicos no deseados o de phishing. Estos mensajes intentan alertar a los usuarios sobre un evento que requiere atención inmediata, lo que requiere hacer clic en una URL proporcionada por los atacantes.

Los servidores DNS pueden acceder a los cachés de otros servidores DNS, y así es como el ataque se propaga por todas partes. El principal riesgo de corromper el DNS es el robo de datos. Otro gran riesgo: si se manipula el sitio web de su proveedor de seguridad de Internet, su computadora puede estar expuesta a amenazas adicionales como virus o troyanos porque no se realizarán actualizaciones de seguridad legítimas.

Túnel DNS

Otra forma común de atacar DNS, y una de las más antiguas, es la tunelización de DNS. Estos ataques utilizan el protocolo DNS para transmitir malware y otros datos en un modelo cliente-servidor. Estas cargas útiles pueden tomar el control del servidor DNS y permitir que los atacantes administren el servidor y sus aplicaciones.

Un túnel crea una conexión sigilosa entre el atacante y el objetivo, a través de un sistema de resolución de DNS, que puede eludir el firewall. Los ciberdelincuentes pueden usar el túnel para actividades maliciosas como el robo de datos.

La tunelización DNS en muchos casos depende de la conexión de red externa del sistema comprometido, lo que permite el acceso al servidor DNS interno a través del acceso a la red.

Fast Stream pasa por alto el control de seguridad

Fast Flux es una técnica de evasión de DNS en la que los atacantes usan botnets para ocultar sus actividades de phishing y malware de los escáneres de seguridad mediante el uso de direcciones IP en constante cambio de hosts comprometidos que actúan como servidores proxy inversos para el servidor principal del bot.

El término «flujo rápido» también se refiere a la combinación de redes peer-to-peer, comando y control distribuidos, equilibrio de carga de red y reenvío de proxy, que se utilizan para inmunizar una red de malware contra la detección.

La idea principal detrás de Fast Flux es tener una gran cantidad de direcciones IP asociadas con un solo nombre de dominio legítimo, ya que las direcciones IP a menudo se intercambian cambiando los registros de recursos de DNS. Los servidores de nombres de dominio de flujo rápido certificados están alojados principalmente por un ciberdelincuente.

Secuestro/redireccionamiento de DNS

El secuestro de DNS (o redirección de DNS) es la práctica de socavar la forma en que se resuelven las consultas de DNS. Los ciberdelincuentes hacen esto usando malware que sobrescribe la configuración TCP/IP de un sistema para apuntar a un servidor DNS falso bajo el control del atacante, o modificando el comportamiento de un servidor DNS de confianza para que sea incompatible con los estándares de Internet. Los malos actores usan estas modificaciones con fines maliciosos, como el phishing.

Hay tres versiones principales de secuestro de DNS:

Los atacantes violan la cuenta del registrador de dominios y modifican el servidor de nombres DNS a un servidor que controlan Cambiar el registro de la dirección IP del dominio para que apunte a la dirección del atacante

Los atacantes penetran el enrutador de la empresa y cambian el servidor DNS, que se envía automáticamente a cada máquina cuando los usuarios inician sesión en la red de la empresa.

Cómo prevenir los ataques de DNS

Las organizaciones pueden adoptar una serie de prácticas para ayudar a reducir el riesgo de ataques DNS.

Aquí hay algunas prácticas sugeridas:

Implementar un control de acceso más fuerte

Las empresas deben asegurarse de tomar medidas para controlar mejor quién puede acceder a la red. Una forma de hacerlo es implementar la autenticación multifactor o de dos factores como una forma de acceder a su cuenta o sistema en línea. Esto requiere que los usuarios proporcionen más de un tipo de información, como una contraseña y una identificación, para acceder.

Las empresas deben asegurarse de que la autenticación multifactor esté habilitada en todos los registros o cuentas de registro, de modo que las contraseñas no sean fáciles de adivinar, se almacenen de forma segura y no se reutilicen en todos los servicios.

CISA recomienda que las organizaciones actualicen de inmediato sus contraseñas para todas las cuentas en los sistemas que probablemente realicen cambios en los registros DNS, incluidas las cuentas en el software del servidor DNS administrado de la organización, los sistemas que administran el programa, los paneles de administración de los operadores DNS externos y las cuentas del registrador DNS.

Usa el principio de desconfianza

El enfoque de desconfianza hacia la seguridad está cobrando impulso, gracias en parte al mayor apoyo del gobierno federal de los EE. UU., así como a los modelos comerciales híbridos y remotos que han incubado muchas empresas. La confianza cero puede desempeñar un papel importante en la reducción de las amenazas de DNS.

La firma de investigación Garner recomienda que los líderes de seguridad y riesgo implementen dos importantes proyectos de desconfianza en la red para reducir el riesgo. El primero es la implementación del sistema Zero Trust Network Access (ZTNA), que abstrae y centraliza los mecanismos de acceso para que los ingenieros y el personal de seguridad se encarguen de ellos.

Otorga el acceso adecuado según la identidad de los usuarios y sus dispositivos, y según otros factores, como la hora y la fecha, la ubicación geográfica, los patrones de uso históricos y el estado del dispositivo. El resultado, dice Gartner, es un entorno más seguro y resistente, con una mayor flexibilidad y una mejor supervisión.

Otro proyecto es la segmentación de la red basada en la identidad, que Gartner cree que es una forma eficaz de limitar la capacidad de los atacantes para navegar por la red una vez que han ingresado.

La compañía dijo que la fragmentación basada en la identidad reduce la confianza implícita injustificada al permitir que las organizaciones cambien las cargas de trabajo individuales a un modelo de «rechazo predeterminado» en lugar de un «permiso implícito». Utiliza reglas dinámicas que evalúan la carga de trabajo y la identidad de la aplicación como parte de la decisión de permitir o no el acceso a la red.

Revisar y verificar registros DNS

CISA recomienda que para todos los dominios que su organización posee y administra, revise todos los registros de dominio público con los registradores de dominio para verificar que los registros del servidor de nombres (NS) asociado estén autorizados para los servidores DNS apropiados. Debe revisar todos los registros DNS en todos los servidores DNS secundarios y de confianza para verificar que se hayan resuelto para el propósito previsto.

Las organizaciones deben investigar de inmediato cualquier incoherencia que se encuentre y tratarla como un posible incidente de seguridad. Estas acciones ayudarán a detectar cualquier ataque de DNS activo.

Fuente: Red Mundial