Los peores ataques de DNS y cómo mitigarlos

0
71

El Sistema de Nombres de Dominio (DNS, por sus siglas en inglés) permanece bajo ataque constante y, a medida que las amenazas se vuelven cada vez más sofisticadas, esta situación parece no tener fin.

El DNS, conocido como la guía telefónica de Internet, es parte de la infraestructura global de Internet que se traduce entre nombres conocidos y los números que las computadoras necesitan para acceder a una página web o enviar un correo electrónico. Aunque, por mucho tiempo, el DNS ha sido el objetivo de los asaltantes que buscan robar todo tipo de información corporativa y privada, las amenazas del año pasado indican que la situación ha empeorado.

IDC informa que el 82% de las empresas en todo el mundo se han enfrentado a un ataque al DNS en el último año. La firma de investigación publicó recientemente su quinto Global DNS Threat Report, que se basa en una encuesta realizada por IDC -en nombre del proveedor de seguridad DNS EfficientIP- a 904 organizaciones en todo el mundo durante el primer semestre del 2019.

Según la investigación de IDC, en comparación con el año anterior, los costos promedio asociados con un ataque al DNS aumentaron en 49%. En Estados Unidos, el costo promedio de un ataque al DNS supera 1.270.000 dólares. Casi la mitad de los encuestados (48%) reporta haber perdido más de 500 mil dólares en un ataque al DNS, y casi el 10% afirma haber perdido más de cinco millones de dólares por cada ataque. Asimismo, la mayoría de las organizaciones de Estados Unidos afirma que se tardó más de un día en resolver un ataque al DNS.

«Lo que es preocupante, tanto las aplicaciones internas como las de la nube sufrieron daños; el tiempo de inactividad de las aplicaciones in-house se incrementó en más de 100%, lo que actualmente convierte a la inactividad en el tipo de daño más predominante”, escribió IDC. «Los ataques al DNS están dejando de ser de fuerza bruta pura y están volviéndose en ataques más sofisticados, actuando desde la red interna. Esto obligará a las organizaciones a utilizar herramientas de mitigación inteligentes para lidiar con las amenazas internas”.

Campaña de secuestro Sea Turtle DNS
La actual campaña de secuestros de DNS, conocida como Sea Turtle, es un ejemplo de lo que está ocurriendo en el panorama actual de amenazas al DNS.

Este mes, los investigadores de seguridad de Cisco Talos afirmaron que las personas que están detrás de la campaña Sea Turtle han estado actualizando sus ataques con nueva infraestructura y amenazando a nuevas víctimas.

En abril, Talos publicó un informe que detalla a Sea Turtle y lo califica como «el primer caso conocido de una organización de registro de nombres de dominio que se vio involucrada en operaciones de ciberespionaje”. Talos afirma que esta campaña de amenazas a los DNS es un ataque patrocinado por un estado, indetectable para las víctimas, que abusa del DNS para obtener credenciales de acceso a redes y sistemas sensibles; lo que denota un conocimiento único sobre cómo manipular el DNS.

Al obtener el control del DNS de las víctimas, los atacantes pueden cambiar o falsificar cualquier información en Internet, y modificar de manera ilícita los registros de nombres en el DNS para que los usuarios se dirijan a servidores controlados por determinados actores. Los usuarios que visitan esos sitios no tienen cómo saberlo, informa Talos.

Después del informe de abril de Talos, los hackersdetrás de Sea Turtle parecen haberse reagrupado y están redoblando sus esfuerzos con la nueva infraestructura, un movimiento que los investigadores de Talos encuentran inusual: «Aunque muchos actores se desaceleran una vez que son expuestos, este grupo parece ser inusualmente descarado, y es poco probable que se desanime en el futuro”, escribió Talos en julio.

«Asimismo, descubrimos una nueva técnica de secuestro de DNS, la cual consideramos -con un nivel de confianza moderado- está conectada a los actores detrás de Sea Turtle. Esta nueva técnica presenta similitudes en cuanto a la manera en que los actores de la amenaza comprometen los registros del servidor de nombres, y responden a las solicitudes de DNS con registros A falsificados”, afirmó Talos.

«Esta nueva técnica solo se ha observado en algunas operaciones altamente específicas. También identificamos una nueva ola de víctimas, incluido un registro de dominio de nivel superior de código de país (ccTLD, por sus siglas en inglés), que administra los registros del DNS para cada dominio que usa ese código de país en particular; ese acceso se utilizó para luego comprometer a entidades gubernamentales adicionales. Desafortunadamente, a menos que se realicen cambios significativos para proteger mejor el DNS, este tipo de ataques continuarán ocurriendo”, escribió Talos.

El ataque DNSpionage hace upgrade de sus herramientas
Otra nueva amenaza para el DNS se presenta en forma de una campaña de ataque llamada DNSpionage.

Con el fin de comprometer a los objetivos por medio de documentos de Microsoft Office elaborados con macros incrustadas, DNSpionage inicialmente utilizó dos páginas web maliciosas que contenían anuncios de trabajo. El malware soportaba la comunicación HTTP y DNS con los atacantes. Los atacantes continúan desarrollando nuevas técnicas de asalto.

«El desarrollo continuo del malware DNSpionage por parte del actor de las amenazas muestra que el atacante sigue encontrando nuevas formas de evitar la detección. «El tunneling de DNS es un método popular de copia y transferencia de datos no autorizada para algunos actores, y los ejemplos recientes de DNSpionage muestran que debemos asegurarnos de que el DNS sea monitoreado tan de cerca como el proxy o los weblogs normales de una organización”, escribió Talos. «El DNS es, esencialmente, la guía telefónica de Internet. Cuando esta es manipulada, resulta difícil para cualquiera discernir si lo que están viendo en línea es legítimo”.

La campaña DNSpionage fue dirigida a varias empresas en Medio Oriente y también a los dominios gubernamentales de los Emiratos Árabes Unidos.

«Uno de los mayores problemas con los ataques al DNS, o la falta de protección de ellos, es la complacencia”, afirmó Craig Williams, gerente de divulgación de inteligencia de amenazas de Talos. Las empresas piensan que el DNS es estable y que no tienen que preocuparse por eso. «Pero lo que estamos viendo con ataques como DNSpionage y Sea Turtle demuestran lo contrario, porque los atacantes han descubierto cómo usarlos en su beneficio -cómo usarlos para dañar las credenciales de alguna manera. En el caso de Sea Turtle, la víctima ni siquiera sabe que el ataque ocurrió, y ese es un problema potencial real”.

Si sabe, por ejemplo, que su servidor de nombres se ha visto afectado, entonces puede obligar a todos a cambiar sus contraseñas. Pero si, en lugar de eso, tienen como objetivo al registrador -y el registrador señala en dirección al nombre del atacante- usted nunca pudo darse cuenta qué sucedió porque nada suyo fue tocado, por eso estas nuevas amenazas son tan viles, afirmó Williams.

«Una vez que los atacantes comiencen a usarlo públicamente, con éxito, otros tipos malos lo verán y dirán, ‘¿por qué no lo uso para recolectar muchas credenciales de los sitios que me interesan?”, afirmó Williams.

Las advertencias de seguridad del DNS aumentan
En julio, el Centro Nacional de Seguridad Cibernética (NCSC, por sus siglas en inglés) de Reino Unido emitió una advertencia sobre los ataques vigentes a los DNS, especialmente enfocándose en el secuestro de DNS. Citó una serie de riesgos asociados con el aumento en el secuestro de DNS, incluyendo:

La creación de registros de DNS maliciosos.Por ejemplo, se podría usar un registro de DNS malicioso para crear una página web de phishing que esté presente en el dominio familiar de una organización. Esto puede ser utilizado para engañar a empleados o clientes.

La obtención de certificados SSL. Los certificados SSL validados en el dominio se emiten en función de la creación de registros de DNS; por lo tanto, un atacante puede obtener certificados SSL válidos para un nombre de dominio, que podría usarse para crear una página web de phishingdestinada a parecerse a una página web auténtica, por ejemplo.

Proxying transparente.Un grave riesgo empleado recientemente involucra el proxying transparente del tráfico para interceptar datos. El atacante modifica las entradas de zona de dominio configuradas de una organización (como los registros «A” o «CNAME”) para dirigir el tráfico a su propia dirección IP, que es la infraestructura que administran.

«Una organización puede perder el control total de su dominio y, a menudo, los atacantes cambian los detalles de propiedad del dominio, lo que dificulta recuperarlo”, escribió el NCSC.

A principios de este año, estas nuevas amenazas, así como otros peligros, llevaron al gobierno de Estados Unidos a emitir una advertencia a las agencias federales respecto a los ataques al DNS.

La Agencia de Seguridad Cibernética e Infraestructura (CISA, por sus siglas en inglés) del Departamento de Seguridad Nacional pidió a todas las agencias federales que aseguren sus DNS debido a una serie de campañas mundiales de hacking.

En su Emergency Directive, la CISA afirmó que estaba rastreando una serie de incidentes dirigidos a la infraestructura de DNS. CISA escribió que «está al tanto de los varios dominios de agencias ejecutivas que se vieron afectados por la campaña de manipulación y notificó a las agencias que los mantienen”.

CISA afirma que los atacantes han logrado interceptar y redirigir el tráfico de la web y el correo, y podrían dirigirse a otros servicios en red. La agencia afirmó que los ataques comienzan con la irrupción en las credenciales de usuario de una cuenta capaz de hacer cambios en los registros de DNS. Luego, el atacante altera los registros de DNS, como los registros de Dirección, Intercambiador de correo o Servidor de nombres, reemplazando la dirección legítima de los servicios con una dirección que controla el atacante.

Estas acciones permiten al atacante dirigir el tráfico de los usuarios a su propia infraestructura para manipularlos o inspeccionarlos antes de pasarlos al servicio legítimo, si así lo desean. Esto crea un riesgo que persiste más allá del período de redirección del tráfico, indicó CISA.

«Debido a que el atacante puede establecer valores de registro del DNS, también puede obtener certificados de encriptación válidos para los nombres de dominio de una organización. Esto permite que el tráfico redirigido sea descifrado, exponiendo cualquier dato enviado por el usuario. Dado que el certificado es válido para el dominio, los usuarios finales no reciben advertencias de error”, declaró CISA.

Únase al movimiento DNSSEC
«Las empresas que son objetivos potenciales, en particular aquellas que capturan o exponen datos de usuarios y empresas a través de sus aplicaciones, deben prestar atención a este asesoramiento de la NSCS, y deben presionar a sus proveedores de DNS y registradores para que la DNSSEC -y otras prácticas recomendadas para la seguridad de los dominios- sean fáciles de implementar y estandarizar”, afirmó Kris Beevers, cofundador y CEO de DSN NS1, proveedor de seguridad. «Pueden implementar fácilmente la firma de DNSSEC, y otras mejores prácticas de seguridad para dominios, con las tecnologías en el mercado actual. Como mínimo, deberían trabajar con sus proveedores y equipos de seguridad para auditar sus implementaciones”.

DNSSEC apareció en las noticias a principios de este año cuando, en respuesta al aumento en los ataques a los DNS, la Corporación de Internet para Nombres y Números Asignados (ICANN, por sus siglas en inglés) solicitó un mayor esfuerzo comunitario para instalar una tecnología de seguridad más sólida para el DNS.

Específicamente, la ICANN desea una implementación completa de las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC, por sus siglas en inglés) en todos los nombres de dominio inseguros. DNSSEC agrega una capa de seguridad sobre el DNS. La implementación completa de DNSSEC garantiza que los usuarios finales se conecten a la página web real o a otro servicio correspondiente a un nombre de dominio en particular, afirmó la ICANN. «Aunque esto no solucionará todos los problemas de seguridad de Internet, sí protege una parte crítica -la búsqueda en el directorio- complementando a otras tecnologías como SSL (https:) que protegen la ‘conversación’ y brindan una plataforma para el futuro desarrollo de mejoras de seguridad”, declaró la ICANN.

Las tecnologías DNSSEC han existido desde el 2010, pero su implementación no se ha generalizado, menos del 20% de los registradores de DNS las han implementado a nivel mundial, según el registro regional de direcciones de Internet para la región de Asia-Pacífico (APNIC).

La adopción de DNSSEC se ha retrasado porque se vio como opcional y puede requerir un compromiso entre la seguridad y la funcionalidad, afirmó Beevers de NS1.

Las amenazas tradicionales al DNS
Si bien el secuestro del DNS puede ser el método de ataque de primera línea, todavía existen otras amenazas más tradicionales.

El estudio IDC/EfficientIP encontró que las amenazas más populares al DNS han cambiado en comparación con el año pasado. El phishing (47%) es ahora más popular que el malware basado en DNS (39%), preferido al año anterior, seguido de los ataques DDoS (30%), activación de falsos positivos (26%) y ataques de dominio de bloqueo (26%).

Los expertos afirman que el envenenamiento de la caché del DNS, o la falsificación del DNS, también es bastante común. Al usar el envenenamiento de la caché, los atacantes inyectan datos maliciosos en los sistemas de caché del sistema de resolución de DNS, con la intención de redirigir a los usuarios a los sitios del atacante. Seguidamente, ellos pueden robar información personal u otra inteligencia.

El tunneling de DNS, que utiliza al DNS para presentar un canal de comunicación oculto, que posteriormente puede evitar un firewall, es otra amenaza de ataque.

Los investigadores de seguridad de Unit 42, de Palo Alto, han detallado uno de los ataques de tunneling de DNS más conocidos: OilRig.

Aproximadamente desde mayo del 2016, OilRig produjo troyanos que usan tunneling de DNS para comando y control en ataques utilizados con el fin de robar datos. Desde entonces, el grupo de amenazas ha introducido nuevas herramientas que utilizan diferentes protocolos de tunneling en su conjunto de herramientas, de acuerdo con la publicación del blog de Unit 42 sobre OilRig.

«El grupo OilRig ha usado repetidamente el tunneling DNS como un canal para comunicarse entre sus servidores C2 y muchas de sus herramientas”, afirmó Unit 42.

«Uno de los principales inconvenientes del uso de tunneling de DNS es el alto volumen de consultas de DNS emitidas para transmitir datos entre la herramienta y el servidor C2, que pueden destacar entre los que monitorean la actividad del DNS en sus redes”, señalaron los investigadores de Unit 42.

La mitigación de los ataques al DNS
Según los expertos, existen varias cosas que pueden hacer las empresas para mantener al margen a la mayoría de estos ataques.

Lo más importante que pueden hacer los usuarios es implementar la autenticación de dos factores, afirmó Williams de Talos. «Es fácil de implementar, todos entienden lo que es y actualmente a nadie le sorprende. Las empresas también deberían actualizar los sitios que están dirigidos al público -estamos mucho más allá del mundo en el que pensábamos: ‘bueno, esperemos que simplemente no nos encuentren’- eso no funciona”.

Existen muchas otras prácticas recomendadas de seguridad para el DNS. Hemos recopilado algunas aquí, comenzando con las de la Agencia de Seguridad de la Ciberseguridad y la Infraestructura (CISA, por sus siglas en inglés) del Departamento de Seguridad Nacional.

Las mejores prácticas de seguridad de CISA para el DNS incluyen estos consejos:

Actualizar las contraseñas de la cuenta del DNS. Esto interrumpirá el acceso a las cuentas que un actor no autorizado podría tener actualmente.

Verifique los registros del DNS para asegurarse de que se resuelvan según lo previsto y no se redirijan a otra parte. Esto ayudará a detectar cualquier secuestro activo del DNS.

Audite los registros públicos del DNS para verificar que se estén resolviendo en la ubicación deseada.

Busque certificados de encriptación relacionados con dominios y revoque todos los certificados solicitados de manera fraudulenta.

Supervise los logs de transparencia para los certificados emitidos que la agencia no solicitó. Esto ayudará a los defensores a darse cuenta si alguien está intentando hacerse pasar por ellos o espiar a sus usuarios

El proveedor de seguridad de DSN NS1 sugiere estos pasos a seguir con su registro/registrador:

Asegúrese de que la autenticación de dos factores esté habilitada en todas las cuentas de registrador o registro, y que las contraseñas no sean fáciles de adivinar, se almacenen de forma segura y no se reutilicen entre los servicios.

Los atacantes pueden intentar usar los procesos de recuperación de cuentas para obtener acceso a la administración del dominio, por lo tanto, asegúrese de que los datos de contacto sean precisos y estén actualizados. Esto es particularmente relevante para el DNS, ya que es común que los dominios se registren antes de que las cuentas de correo electrónico corporativo estén disponibles.

Muchos registradores y registros ofrecen servicios de «bloqueo” para requerir pasos adicionales de mejora de la seguridad antes de que se puedan realizar cambios. Entienda cualquier servicio de ‘bloqueo’ disponible para usted y considere aplicarlo, en particular a dominios de alto valor.

Asegúrese de que cualquier registro disponible esté habilitado para que pueda revisar los cambios que se han realizado.

Pasos por seguir con el hosting de DNS:

  • Asegúrese de que la autenticación de dos factores esté habilitada en todas las cuentas de hosting de DNS y que las contraseñas no se adivinen fácilmente y no se reutilicen en todos los servicios.
  • Asegúrese de tener backups de sus zonas críticas de DNS para permitirle recuperarse en caso de una irrupción.
  • Considere el uso de enfoques de configuración como código para administrar los cambios en sus zonas de DNS.
  • Asegúrese de que cualquier logging disponible esté habilitado para que pueda revisar los cambios que se han realizado.

EfficientIP afirma:

  • La implementación de la detección de amenazas de comportamiento en tiempo real sobre el tráfico del DNS permite que se envíen eventos de seguridad calificados, en lugar de logs, a los SIEM.
  • El uso de analítica del DNS en tiempo real ayuda a detectar y frustrar ataques avanzados como el malware DGA y los dominios maliciosos de día cero.
  • En los procesos de orquestación de la seguridad de la red, la integración del DNS con la administración de direcciones IP (IPAM, por sus siglas en inglés) ayuda a automatizar la administración de las políticas de seguridad, manteniéndolas actualizadas, consistentes y auditables.

 

La lista de verificación de seguridad del DNS de la ICANN se ve así:

  • Asegúrese de que todas las actualizaciones de seguridad del sistema se hayan revisado y se hayan aplicado;
  • Revise los archivos de log para hallar accesos no autorizados a los sistemas, especialmente el acceso de los administradores;
  • Revise los controles internos sobre el acceso («raíz”) del administrador;
  • Verifique la integridad de cada registro DNS y el historial de cambios de esos registros;
  • Imponga suficiente complejidad en la contraseña, especialmente en la longitud de la contraseña;
  • Asegúrese de que las contraseñas no se compartan con otros usuarios;
  • Asegúrese de que las contraseñas nunca se almacenen o transmitan en texto claro;
  • Imponga cambios regulares y periódicos de las contraseñas;
  • Haga cumplir una política de bloqueo de contraseñas;
  • Asegúrese de que los registros de zona del DNS estén firmados por DNSSEC y que sus resolutorios de DNS estén realizando la validación de DNSSEC;
  • Idealmente, asegúrese de que su dominio de correo electrónico tenga una política de autenticación de mensajes basada en dominio con SPF y/o DKIM y que aplique dichas políticas proporcionadas por otros dominios en su sistema de correo electrónico.

Michael Cooney, Network World