5 tipos de ataques DNS e como detectá-los

O Sistema de Nomes de Domínio, ou DNS, é usado em redes de computadores para traduzir nomes de domínio em endereços IP que são usados pelos computadores para se comunicarem entre si. O DNS existe em quase todas as redes de computadores; ele se comunica com redes externas e é extremamente difícil de bloquear, pois foi projetado para ser um protocolo aberto. Um adversário pode descobrir que o DNS é um mecanismo atraente para realizar atividades maliciosas, como reconhecimento de rede, downloads de malware ou comunicação com seus servidores de comando e controle, ou transferências de dados para fora de uma rede. Consequentemente, é fundamental que o tráfego DNS seja monitorado para proteção contra ameaças.

Ataque 1: instalação de malware. Isso pode ser feito sequestrando consultas DNS e respondendo com endereços IP maliciosos. O objetivo da instalação de malware também pode ser alcançado direcionando solicitações para domínios de phishing.

Indicadores de comprometimento: pesquisas diretas de DNS sobre erros de digitação, nomes de domínio que parecem ou soam semelhantes (gooqle.com, por exemplo); modificações no arquivo hosts; Envenenamento de cache DNS.

Ataque 2: Roubo de credenciais. Um adversário pode criar um nome de domínio malicioso que se assemelhe a um nome de domínio legítimo e usá-lo em campanhas de phishing para roubar credenciais.

Indicadores de comprometimento: pesquisas diretas de DNS sobre erros de digitação, nomes de domínio que parecem ou soam semelhantes (gooqle.com, por exemplo); modificações no arquivo hosts; Envenenamento de cache DNS.

Ataque 3: Comunicação de Comando e Controle. Como parte do movimento lateral, após um comprometimento inicial, as comunicações DNS são abusadas para se comunicarem com um servidor C2. Isso normalmente envolve fazer consultas DNS periódicas a partir de um computador na rede de destino para um domínio controlado pelo adversário. As respostas contêm mensagens codificadas que podem ser usadas para realizar ações não autorizadas na rede alvo.

Indicadores de comprometimento: consultas de beacon de DNS para domínios anômalos, tempo de vida baixo, solicitações de DNS órfãos.

Ataque 4: Pegada na rede. Os adversários usam consultas DNS para construir um mapa da rede. Os invasores vivem fora do terreno, portanto, desenvolver um mapa é importante para eles.

Indicadores de comprometimento: Grande número de consultas PTR, consultas SOA e AXFER, encaminham pesquisas de DNS para subdomínios inexistentes no domínio raiz.

Ataque 5: Roubo de dados. Abuso de DNS para transferência de dados; isso pode ser realizado encapsulando outros protocolos como FTP, SSH por meio de consultas e respostas DNS. Os invasores fazem várias consultas DNS de um computador comprometido para um domínio de propriedade do adversário. O tunelamento DNS também pode ser usado para executar comandos e transferir malware para a rede de destino.

Indicadores de comprometimento: Grande número de pesquisas de subdomínios ou grande tamanho de pesquisa; subdomínios longos; tipos de consulta incomuns (registros TXT).

Sentindo-se sobrecarregado? Há muitos detalhes para absorver e processar disciplina para colocá-los em prática para detecção e resposta a ameaças 24 horas por dia, 7 dias por semana. Permita-nos fazer o trabalho pesado com nosso SIEM cogerenciado. Quer você use DNS local, como o servidor DNS da Microsoft ou Infoblox, ou serviços em nuvem do OpenDNS, nós temos o que você precisa. Confira nosso “Catch of the Day” para ler histórias verdadeiras de nosso SOC nas quais detectamos e frustramos ataques cibernéticos, incluindo ameaças baseadas em DNS.