A resolução de nomes de domínios abrange a maioria dos protocolos na Internet. Entenda por que essas resoluções devem ser monitoradas.

O Sistema de Nomes de Domínios ou Domain Name System (DNS, em inglês) é responsável por resolver e gerenciar nomes de máquinas na Internet. Seu uso convencional permite que nomes de domínios sejam divulgados e memorizados mais facilmente do que endereços IP numéricos ou hexadecimais.

Da mesma forma que aceita solicitações legítimas para conectar usuários a sites ou bancos de dados, o DNS também pode ser envolvido em ataques e transações ilegítimas. Existem diversos tipos de abusos e ataques DNS, desde resolver nomes de sites não autorizados em uma rede corporativa até a infecção de máquinas por botnets e extração indevida de informações corporativas.

Conexão de malware

Ao infectar uma máquina da rede interna, um malware tentará se comunicar com um servidor na Internet. É a etapa de entrega e exploração da cyber kill-chain. Como IPs de servidores maliciosos podem ser bloqueados por gateway, agentes de malware costumam usar nomes de domínios característicos (conhecidos ou gerados dinamicamente). Para iludir o gateway, o malware usa IPs dinâmicos, dificilmente listados para bloqueio.

Dessa forma, contornam o bloqueio usando o servidor DNS interno e conseguem estabelecer conexão com o servidor de comando e controle (imagem abaixo). Tais comunicações podem ser evitadas configurando entradas de domínios associados a malwares conhecidos no seu DNS interno, impedindo que futuras conexões sejam estabelecidas.

Entenda a conexão do malware com o servidor de Comando e Controle em um ataque que explora o DNS:

Vazamento de informações

Outro uso indevido de DNS interno tem a ver com a extração e o vazamento de informações corporativas por malwares. Esse nível de ataque já é mais avançado na cyber kill chain, pois o malware já está em ação com a exfiltração dos dados. O objetivo é variado e depende do atacante.

Pode se extrair credenciais de usuários, de administradores, ou vazar informações mais críticas como dados pessoais, intelectuais ou financeiros. Para alcançar esse objetivo, o processo de extração “disseca” arquivos das máquinas em pedaços de caracteres hexadecimais, e os insere no campo de nome das requisições DNS. Desta forma o malware consegue extrair centenas de bytes de informação por requisição.

Exemplo de vazamento de dados via DNS

Um arquivo financeiro como uma planilha de Excel de alguns megabytes pode ser encaminhado pelo DNS interno em segundos. Com pedaços de 256 caracteres, representa 125 de bytes por requisição.

Exemplo de nome resolvido em um vazamento de dados (com os “pedaços” de arquivo em negrito):

566572792073656e73697469766520696e666f726d6174696f6e2e204669.malware.pw

6e616e6369616c206e756d626572732061626f7574206e657874206d6572.malware.pw

6765722e20486f706520697420646f65736e2774206c65616b2e204b7564.malware.pw

6f7320696620796f752072656164207468697321203e40676f756c6f6e3c.malware.pw

Uso de servidores externos

O monitoramento do tráfego dos usuários da rede interna é mais um desafio na identificação de usos indevidos do DNS.

Apesar de aplicar restrições no gateway e impedir a resolução de nomes de sites maliciosos, agentes mal-intencionados têm servidores DNS externos como alternativa para burlar a segurança do ambiente. Eles são usados para acessar sites proibidos, vazar informações, ou estabelecer conexão com redes ocultas. Como esses servidores não estão dentro da rede corporativa, as requisições devem interceptadas de outra forma.

Soluções avançadas de Network Traffic Analysis (NTA) como o Zerum Lynx são capazes de detectar o tráfego malicioso de forma inteligente, gerando alertas sobre o uso indevido de DNS externo. Usuários que tentam acessar websites não autorizados com HTTPS, por exemplo, podem ser identificados e reportados. Neste caso, os analistas da Zerum indicam forçar o uso do DNS interno e bloqueio de DNS externo para que você tenha um maior controle do que sai da sua rede.

Sobre a Zerum

A Zerum é uma empresa de Data Science líder em inovação que fornece visibilidade e entendimento em tempo real sobre fluxos de dados complexos. Nossos produtos, serviços e tecnologias ajudam grandes organizações a reduzir gargalos operacionais, combater ameaças cibernéticas avançadas, detectar fraudes e manter comunidades seguras.

Para mais informações, entre em contato!