What is DNS Tunneling?

The Domain Name System (DNS) protocol is one of the most widely used and trusted protocols on the Internet. However, DNS tunneling attacks abuse this protocol to sneak malicious traffic past an organization’s defenses. By using malicious domains and DNS servers, an attacker can use DNS to evade network defenses and perform data exfiltration.

OBTENGA UNA DEMOSTRACIÓN Guía del comprador de NGFW

What is DNS Tunneling?

¿Qué es DNS?

En términos simples, DNS es el directorio telefónico de Internet. Al navegar por Internet, la mayoría de los usuarios prefieren escribir el dominio o la URL del sitio web que desean visitar (como https://www.checkpoint.com). Sin embargo, los servidores y la infraestructura de Internet utilizan direcciones IP para identificar el destino del tráfico y enrutarlo allí.

 

DNS proporciona conversiones entre nombres de dominio y direcciones IP. Está organizado como un sistema jerárquico con servidores para diferentes subdominios. Un visitante del sitio checkpoint.com preguntaría un.com Servidor DNS para la dirección IP del servidor DNS checkpoint.com. Una segunda solicitud a este servidor DNS proporcionaría la dirección IP del servidor que aloja la página web deseada. El usuario ahora puede visitar su sitio deseado.

¿Cómo funciona la tunelización DNS?

El DNS es uno de los protocolos fundamentales de Internet. Sin los servicios de búsqueda que proporciona, sería casi imposible encontrar algo en Internet. Para visitar un sitio web, necesita saber la dirección IP exacta del servidor que lo aloja, lo cual es imposible. Como resultado, el tráfico DNS es uno de los más confiables en Internet. Las organizaciones permiten que pase a través de su firewall (tanto entrante como saliente) porque es necesario que sus empleados internos visiten sitios externos y que los usuarios externos encuentren sus sitios web.

 

DNS tunneling takes advantage of this fact by using DNS requests to implement a command and control channel for malware. Inbound DNS traffic can carry commands to the malware, while outbound traffic can exfiltrate sensitive data or provide responses to the malware operator’s requests. This works because DNS is a very flexible protocol. There are very few restrictions on the data that a DNS request contains because it is designed to look for domain names of websites. Since almost anything can be a domain name, these fields can be used to carry sensitive information. These requests are designed to go to attacker-controlled DNS servers, ensuring that they can receive the requests and respond in the corresponding DNS replies.

 

DNS tunneling attacks are simple to perform, and numerous DNS tunneling toolkits exist. This makes it possible for even unsophisticated attackers to use this technique to sneak data past an organization’s network security solutions.

Detección de ataques de túnel DNS

La tunelización DNS implica el abuso del protocolo DNS subyacente. En lugar de utilizar solicitudes y respuestas de DNS para realizar búsquedas legítimas de direcciones IP, el malware las utiliza para implementar un canal de comando y control con su controlador.

 

La flexibilidad del DNS lo convierte en una buena opción para la exfiltración de datos; sin embargo, tiene sus límites. Algunos indicadores de tunelización DNS en una red pueden incluir:

  • Solicitudes de dominio inusuales: el malware de túnel DNS codifica datos dentro de un nombre de dominio solicitado (como DATA_HERE.baddomain.com). La inspección de los nombres de dominio solicitados dentro de las solicitudes DNS puede permitir que una organización diferencie el tráfico legítimo del intento de tunelización DNS.
  • Solicitudes de dominios inusuales: La tunelización DNS solo funciona si el atacante es el propietario del dominio de destino, de modo que las solicitudes DNS van a su servidor DNS. Si una organización está experimentando un aumento repentino en las solicitudes de un dominio inusual, puede indicar tunelización DNS, especialmente si ese dominio se creó recientemente.
  • Alto volumen de tráfico DNS: El nombre de dominio dentro de una solicitud DNS tiene un tamaño máximo (253 caracteres). Esto significa que un atacante probablemente necesitará una gran cantidad de solicitudes DNS maliciosas para realizar la exfiltración de datos o implementar un protocolo de comando y control altamente interactivo. El aumento resultante en el tráfico DNS puede ser un indicador de la tunelización DNS.

 

Todos estos factores pueden ser benignos por sí solos. Sin embargo, si una organización experimenta varias o todas estas anomalías, puede ser una indicación de que hay malware de túnel DNS presente y activo dentro de la red.

Cómo protegerse contra la tunelización DNS

La protección contra el túnel DNS requiere un sistema avanzado de prevención de amenazas de red capaz de detectar y bloquear este intento de filtración de datos. Un sistema de este tipo debe realizar una inspección del tráfico de la red y tener acceso a una sólida inteligencia sobre amenazas para respaldar la identificación del tráfico dirigido a dominios maliciosos y contenido malicioso que puede estar incrustado en el tráfico DNS.

 

El Firewall de última generación (NGFW) de Check Point proporciona capacidades de seguridad de red y detección de amenazas líderes en la industria. Para obtener más información sobre las soluciones de Check Point y cómo pueden mejorar la seguridad de la red de su organización, contáctenos. También puede  solicitar una demostración para ver los NGFW de Check Point en acción.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.