Indivíduo com máscara utilizando um laptop
Como identificar usos indevidos e ataques DNS e por que isso é importante?

A resolução de nomes de domínios abrange a maioria dos protocolos na Internet. Entenda por que essas resoluções devem ser monitoradas.

O Sistema de Nomes de Domínios ou Domain Name System (DNS, em inglês) é responsável por resolver e gerenciar nomes de máquinas na Internet. Seu uso convencional permite que nomes de domínios sejam divulgados e memorizados mais facilmente do que endereços IP numéricos ou hexadecimais.

Da mesma forma que aceita solicitações legítimas para conectar usuários a sites ou bancos de dados, o DNS também pode ser envolvido em ataques e transações ilegítimas. Existem diversos tipos de abusos e ataques DNS, desde apenas resolver nomes de sites não autorizados em uma rede corporativa até a infecção de máquinas por botnets e extração indevida de informações corporativas.

Conexão de malwares

Ao infectar uma máquina da rede interna, um malware tentará se comunicar com um servidor na Internet. É a etapa de entrega e exploração da cyber kill chain. Como IPs de servidores maliciosos podem ser bloqueados por gateway, agentes de malware costumam usar nomes de domínios característicos (conhecidos ou gerados dinamicamente). Para iludir o gateway, o malware usa IPs dinâmicos, dificilmente listados para bloqueio.

Dessa forma, contornam o bloqueio usando o servidor DNS interno e conseguem estabelecer conexão com o servidor de comando e controle (imagem abaixo). Tais comunicações podem ser evitadas configurando entradas de domínios associados a malwares conhecidos no seu DNS interno, impedindo que futuras conexões sejam estabelecidas.

Entenda a conexão do malware com o servidor de Comando e Controle em um ataque que explora o DNS:

Fluxo de ataque DNS: Conexão de malware com servidor de Comando e Controle utilizando DNS interno

Vazamento de informações

Outro uso indevido de DNS interno tem a ver com a extração e o vazamento de informações corporativas por malwares. Esse nível de ataque já é mais avançado na cyber kill chain, pois o malware já está em ação com a exfiltração dos dados. O objetivo é variado e depende do atacante.

Pode se extrair credenciais de usuários, de administradores, ou vazar informações mais críticas como dados pessoais, intelectuais ou financeiros. Para alcançar esse objetivo, o processo de extração “disseca” arquivos das máquinas em pedaços de caracteres hexadecimais, e os insere no campo de nome das requisições DNS. Desta forma o malware consegue extrair centenas de bytes de informação por requisição.

Exemplo de vazamento de dados via DNS

Um arquivo financeiro como uma planilha de Excel de alguns megabytes pode ser encaminhado pelo DNS interno em segundos. Com pedaços de 256 caracteres, representa 125 de bytes por requisição.

Exemplo de nome resolvido em um vazamento de dados (com os “pedaços” de arquivo em negrito):

566572792073656e73697469766520696e666f726d6174696f6e2e204669.malware.pw

6e616e6369616c206e756d626572732061626f7574206e657874206d6572.malware.pw

6765722e20486f706520697420646f65736e2774206c65616b2e204b7564.malware.pw

6f7320696620796f752072656164207468697321203e40676f756c6f6e3c.malware.pw

Uso de servidores externos

O monitoramento do tráfego dos usuários da rede interna é mais um desafio na identificação de usos indevidos do DNS.

Apesar de aplicar restrições no gateway e impedir a resolução de nomes de sites maliciosos, agentes mal-intencionados têm servidores DNS externos como alternativa para burlar a segurança do ambiente. Eles são usados para acessar sites proibidos, vazar informações, ou estabelecer conexão com redes ocultas. Como esses servidores não estão dentro da rede corporativa, as requisições devem interceptadas de outra forma.

Soluções avançadas de Security Analytics como o Zerum Lynx são capazes de detectar o tráfego malicioso de forma inteligente, gerando alertas sobre o uso indevido de DNS externo. Usuários que tentam acessar websites não autorizados com HTTPS, por exemplo, podem ser identificados e reportados. Neste caso, os analistas Zerum indicam forçar o uso do DNS interno e bloqueio de DNS externo para maior controle do que sai da sua rede.