¿Qué es el túnel DNS?

13 julio

El túnel DNS es uno de los ataques DNS más dañinos. ¿Qué es exactamente y cómo funciona?

El sistema de nombres de dominio, o DNS, es el protocolo que traduce las URL amigables para los humanos, como paloaltonetworks.com, en direcciones IP amigables para las máquinas, como 199.167.52.137. Los cibercriminales saben que el DNS es ampliamente utilizado y confiable. Además, dado que el DNS no está destinado a la transferencia de datos, muchas organizaciones no monitorean su tráfico de DNS en busca de actividad maliciosa. Como resultado, varios tipos de ataques basados ​​en DNS pueden ser efectivos si se lanzan contra las redes de la compañía. La tunelización de DNS es uno de esos ataques.

Cómo funciona el túnel DNS

La tunelización de DNS explota el protocolo DNS para tunelizar malware y otros datos a través de un modelo cliente-servidor.

El atacante registra un dominio, como badsite.com. El servidor de nombres del dominio apunta al servidor del atacante, donde está instalado un programa de malware de túnel.

El atacante infecta una computadora, que a menudo se encuentra detrás del firewall de una empresa, con malware. Debido a que las solicitudes de DNS siempre pueden entrar y salir del firewall, la computadora infectada puede enviar una consulta a la resolución de DNS. El DNS resolver es un servidor que transmite solicitudes de direcciones IP a servidores de dominio raíz y de nivel superior.

La resolución DNS enruta la consulta al servidor de comando y control del atacante, donde está instalado el programa de túnel. Ahora se establece una conexión entre la víctima y el atacante a través del solucionador DNS. Este túnel se puede utilizar para filtrar datos o para otros fines maliciosos. Debido a que no existe una conexión directa entre el atacante y la víctima, es más difícil rastrear la computadora del atacante.

El túnel de DNS ha existido por casi 20 años. Tanto el malware Morto como el Feederbot se han utilizado para la tunelización de DNS. Los ataques de túneles recientes incluyen los del grupo de amenazas DarkHydrus, que atacó a entidades gubernamentales en el Medio Oriente en 2018, y OilRig, que ha estado operando desde 2016 y todavía está activo.