Tipos de ataques DNS y cómo mitigarlos

0
44

Los ataques al sistema de nombres de dominio (DNS, por sus siglas en inglés), en los que los cibercriminales se aprovechan de las vulnerabilidades en el protocolo de Internet DNS, son extremadamente prolíficos y costosos.

La función del DNS es traducir el término que puede ingresar en un cuadro de búsqueda (conocido como el nombre legible por humanos) en la correspondiente cadena de números (dirección IP) que su dispositivo necesita para acceder a una página web o enviar un correo electrónico. Los ataques contra estos sistemas indispensables pueden ser bastante dañinos.

Una encuesta de IDC del 2021, a más de mil cien organizaciones en América del Norte, Europa y Asia Pacífico, mostró que el 87% de ellas había sufrido ataques de DNS. El costo promedio de cada ataque fue de alrededor de 950 mil dólares para todas las regiones y de alrededor de un millón de dólares para las organizaciones en América del Norte.

El informe también señaló que las organizaciones de todas las industrias sufrieron un promedio de 7,6 ataques durante el año anterior.

Debido a la COVID, según el informe, el cambio relacionado al trabajo remoto y la respuesta que dieron las empresas para mover recursos a la nube, con el fin de hacerlos más accesibles, han generado nuevos objetivos para los atacantes.

La investigación también encontró un fuerte aumento en el robo de datos a través de DNS, el 26% de las organizaciones reportó el robo de información confidencial de los clientes, en comparación con el 16% en el 2020.

Estos son los siete tipos más comunes de ataques DNS.

La amplificación de DNS desencadena ataques DDOS
Un ataque de amplificación de DNS es una forma popular de denegación de servicio distribuida (DDoS, por sus siglas en inglés) que aprovecha los servidores DNS abiertos y de acceso público para saturar un sistema de destino con tráfico de respuesta de DNS.

La técnica principal implica que un atacante envíe una solicitud de búsqueda de nombre DNS a un servidor DNS abierto, con la dirección de origen suplantada, para que sea la dirección del objetivo, según la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés), que lidera los esfuerzos de Estados Unidos para mejorar la resiliencia de su infraestructura física y cibernética.

Cuando el servidor DNS envía la respuesta del registro DNS, se envía al destino en su lugar. Los atacantes suelen enviar una solicitud para obtener la mayor cantidad de información posible sobre la zona para que puedan maximizar el efecto de la amplificación, afirma la CISA. En la mayoría de los ataques de este tipo, observados por el CERT de Estados Unidos, las consultas falsas enviadas por los atacantes son del tipo «ANY”, que devuelve toda la información conocida sobre una zona DNS en una sola solicitud.

Dado que el tamaño de la respuesta es mucho mayor que el de la solicitud, el atacante puede aumentar la cantidad de tráfico dirigido a los sistemas del objetivo. Al aprovechar una red de bots para producir una gran cantidad de consultas de DNS falsas, afirma la CISA, un atacante puede crear una inmensa cantidad de tráfico sin mucho esfuerzo.

Y debido a que las respuestas son datos legítimos que provienen de servidores válidos, es extremadamente difícil evitar este tipo de ataques, afirma la agencia. El CERT de Estados Unidos ha visto que la forma más común de este ataque involucra servidores DNS configurados para permitir una resolución recursiva, sin restricciones, para cualquier cliente en Internet. Pero los ataques también pueden involucrar servidores de nombres autorizados que no brindan una resolución recursiva, señala la CISA.

DNS Spoofing o DNS Cache Poisoning utiliza técnicas de phishing
Otro método de ataque común es la suplantación del DNS (spoofing) o el envenenamiento de la caché (poisoning). Con este tipo de ataques, los ciberdelincuentes aprovechan las vulnerabilidades de los servidores DNS para apoderarse de los servidores. Mediante el envenenamiento de la caché, los atacantes inyectan datos maliciosos en los sistemas de caché de un sistema de resolución de DNS para intentar redirigir a los usuarios a los sitios del atacante. Luego, los atacantes pueden robar información personal o capturar otro tipo de información.

Cuando los atacantes obtienen el control de un servidor DNS, pueden modificar la información de la memoria caché (esto es un envenenamiento de DNS). El código para el envenenamiento de la caché del DNS se encuentra con frecuencia en las URL enviadas a través de correos electrónicos no deseados o de phishing. Los correos electrónicos intentan alertar a los usuarios sobre un evento que requiere atención inmediata, lo que requiere hacer clic en una URL proporcionada por los atacantes.

Los servidores DNS pueden acceder a los cachés de otros servidores DNS, y esta es la forma en que el ataque se propaga a gran escala. El riesgo clave con el envenenamiento de DNS es el robo de datos. Otro riesgo importante: si se falsifica el sitio de un proveedor de seguridad de Internet, la computadora de un usuario podría estar expuesta a amenazas adicionales, como virus o troyanos, porque no se realizarán actualizaciones de seguridad legítimas.

DNS Tunneling les permite a los atacantes obtener el control de los servidores DNS
Otro modo de ataque de DNS popular, y uno de los más antiguos que aún existen, es la tunneling del DNS. Estos ataques aprovechan el protocolo DNS para canalizar malware y otros datos a través de un modelo cliente-servidor. Estas cargas útiles de datos pueden apoderarse de un servidor DNS y permitir que los atacantes administren el servidor y sus aplicaciones.

El término tunneling refiere a la creación de una conexión oculta, a modo de túnel entre el atacante y el objetivo, por medio de la resolución de DNS, que puede eludir un firewall. Los ciberdelincuentes pueden usar el túnel para actividades maliciosas, como el robo de datos.

El tunneling DNS, en muchos casos, se basa en la conectividad de la red externa de un sistema comprometido, que proporciona acceso a un servidor DNS interno con acceso a la red.

Fast Flux DNS les ayuda a los atacantes a evadir los escaneos de seguridad
Fast flux es una técnica de evasión de DNS en la que los atacantes utilizan botnets para ocultar sus actividades de phishing y malware de los análisis de seguridad, aprovechando las direcciones IP en constante cambio de los hosts comprometidos, las cuales actúan como proxies inversos del botnet maestro de back end.

Fast flux también puede referirse a la combinación de redes peer to peer, comando y control distribuidos, equilibrio de carga basado en web y redirección de proxy que se utiliza para hacer que las redes de malware sean más resistentes al descubrimiento.

La idea principal detrás de Fast Flux es tener una gran cantidad de direcciones IP asociadas con un solo nombre de dominio legítimo, donde las direcciones IP se intercambian con frecuencia, mediante cambios en los registros de recursos de DNS. En la mayoría de los casos, los servidores de nombres autorizados del nombre de dominio de flujo rápido están alojados por el ciberdelincuente.

Secuestro de DNS o redirección de DNS envía consultas a sistemas comprometidos
El secuestro de DNS (o redirección de DNS) es la práctica de subvertir la resolución de las consultas de DNS. Los ciberdelincuentes hacen esto usando malware que anula la configuración TCP/IP de un sistema para apuntar a un servidor DNS no autorizado, que está bajo el control del atacante, o modificando el comportamiento de un servidor DNS confiable para que no cumpla con las normas estandarizadas de Internet. Los ciberdelincuentes utilizan estas modificaciones con fines maliciosos, como el phishing.

Existen tres versiones principales de ataques de secuestro de DNS: una en la que los atacantes comprometen una cuenta de un registrador de dominio y modifican el servidor de nombres DNS a uno que controlan; otro en el que cambian el registro de la dirección IP de un dominio para que apunte a su dirección; y un tercero donde los atacantes comprometen el router de una organización y cambian el servidor DNS, que se envía automáticamente a cada dispositivo cuando los usuarios inician sesión en la red de la organización.

Cómo evitar los ataques de DNS

Las organizaciones pueden adoptar una serie de prácticas para ayudar a mitigar el riesgo de ataques DNS. A continuación, algunas prácticas sugeridas:

Implementar controles de acceso más estrictos: Las empresas deben asegurarse de tomar medidas para controlar mejor quién tiene acceso a las redes. Una de las formas de hacer esto es implementar la autenticación de factor múltiple, o de dos factores, como una forma de establecer el acceso a una cuenta o sistema en línea. Esto requiere que los usuarios proporcionen más de un tipo de información, por ejemplo, una contraseña y alguna prueba de identidad, para poder acceder.

Las empresas deben asegurarse de que la autenticación de factor múltiple esté habilitada en todas las cuentas de registradores o registros, que las contraseñas no sean fáciles de adivinar y se almacenen de forma segura y no se reutilicen en todos los servicios.

La CISA recomienda que las organizaciones actualicen de inmediato las contraseñas de todas las cuentas en los sistemas que pueden realizar cambios en sus registros de DNS, incluidas las cuentas en el software del servidor DNS administrado por la organización, los sistemas que administran ese software, los paneles de administración de los operadores de DNS de terceros y las cuentas del registrador de DNS.

Implemente un enfoque de confianza cero: El enfoque de confianza cero para la seguridad continúa cobrando impulso, debido en parte al creciente apoyo del gobierno federal de Estados Unidos y los modelos de trabajo híbrido y remoto que se han afianzado en muchas empresas. La confianza cero puede desempeñar un papel en la mitigación de las amenazas de DNS.

Gartner, la firma de investigación, recomienda que los líderes de seguridad y riesgo implementen dos proyectos clave de confianza cero relacionados con la red para reducir el riesgo. Uno es implementar el acceso a la red de confianza cero (ZTNA, por sus siglas en inglés), que abstrae y centraliza los mecanismos de acceso para que los ingenieros y el personal de seguridad puedan ser responsables de ellos.

Otorga un acceso adecuado en función de la identidad de los usuarios y sus dispositivos, además de otro contexto, como la hora y la fecha, la geolocalización, los patrones de uso históricos y la postura del dispositivo. El resultado, afirma Gartner, es un ambiente más seguro y resiliente, con mayor flexibilidad y mejor monitoreo.

El otro proyecto, según Gartner, es la segmentación de la red basada en la identidad. Esta es una forma efectiva de limitar la capacidad que tiene los atacantes para moverse lateralmente en una red una vez que han ingresado.

La segmentación basada en la identidad reduce la confianza implícita excesiva al permitir que las organizaciones muevan las cargas de trabajo individuales a un modelo de «denegación predeterminada” en lugar de un modelo de «permisión implícita”, afirma la empresa. Utiliza reglas dinámicas que evalúan la carga de trabajo y la identidad de la aplicación como parte de la determinación de permitir el acceso a la red.

Revise y verifique los registros DNS: La CISA recomienda que, para todos los dominios que una organización posee y administra, debe revisar todos los registros de dominio público con los registradores de dominio para verificar que los registros del servidor de nombres (NS) asociado se deleguen a los servidores DNS previstos. Debe revisar todos los registros DNS en todos los servidores DNS autorizados y secundarios para verificar que se resuelvan en su destino previsto.

Las organizaciones deben investigar de inmediato cualquier discrepancia descubierta y tratarla como un posible incidente de seguridad. Estas acciones ayudarán a detectar cualquier secuestro de DNS activo.

Michael Cooney Network World

Artículo anteriorAhora podrá adquirir su tarjeta Ubii Visa en todos los Farmatodo de Venezuela
Artículo siguienteSD-WAN y SASE: Cómo están evolucionando los principales proveedores