O que é segurança DNS?

Como o DNS é usado em ataques

Algumas ameaças incluem ataques contra a infraestrutura DNS:

• Negação de serviço distribuída (DDoS): a infraestrutura DNS é essencial para o funcionamento da Internet. Os ataques DDoS contra DNS podem tornar os sites inacessíveis, tornando os servidores DNS que os atendem indisponíveis, saturando a rede com o que parece ser tráfego legítimo. Um exemplo clássico disso é o ataque DDoS de 2016 contra Dyn, onde um exército de bots hospedados em câmeras conectadas à Internet causou interrupções em muitos sites importantes, incluindo Amazon, Netflix, Spotify e Twitter.
• Amplificação DNS DDoS: O DNS usa UDP, um protocolo sem conexão, para transporte, o que significa que um invasor pode falsificar o endereço de origem de uma solicitação DNS e enviar a resposta para um endereço IP de sua escolha. Além disso, as respostas DNS podem ser muito maiores que as solicitações correspondentes. Os invasores DDoS aproveitam esses fatores para amplificar seus ataques, enviando uma pequena solicitação a um servidor DNS e transmitindo uma resposta massiva de volta ao alvo. Isso resulta em um DoS do host de destino.
• Outros ataques de negação de serviço (DoS): além dos ataques DDoS baseados em rede, os aplicativos executados em servidores DNS também podem ser alvo de ataques DoS. Esses ataques são projetados para explorar a vulnerabilidade no aplicativo do servidor DNS, impossibilitando-os de responder a solicitações legítimas.

O DNS também pode ser abusado e usado em ataques cibernéticos. Exemplos de abuso de DNS incluem:

• Sequestro de DNS: Sequestro de DNS refere-se a qualquer ataque que induza um usuário a pensar que está se conectando a um domínio legítimo, enquanto na verdade está conectado a um domínio malicioso. Isso pode ser feito usando um servidor DNS comprometido ou malicioso ou enganando um servidor DNS para que armazene dados DNS incorretos (um ataque chamado envenenamento de cache).
• Túnel DNS: Como o DNS é um protocolo confiável, a maioria das organizações permite que ele entre e saia livremente de sua rede. Os cibercriminosos aproveitam o DNS para exfiltração de dados com malware cujas solicitações de DNS contêm os dados que estão sendo exfiltrados. Como o servidor DNS alvo é normalmente controlado pelo proprietário do site alvo, os invasores garantem que os dados cheguem a um servidor onde possam ser processados por eles e uma resposta seja enviada no pacote de resposta DNS.
• Evasão de segurança usando nomes de domínio aleatórios (DGA): os agentes de ameaças usam algoritmos sofisticados para gerar centenas de milhares de novos nomes de domínio usando um algoritmo de geração de domínio (DGA). O malware instalado em um computador infectado usará esses novos nomes de domínio para evitar a detecção e se conectar ao servidor externo de Comando e Controle do hacker. As soluções de segurança tradicionais não são rápidas o suficiente para determinar se esses domínios são maliciosos ou não, então elas simplesmente permitem que eles passem.

Analytics, inteligência de ameaça e Threat Hunting

O monitoramento do tráfego DNS pode ser uma rica fonte de dados para as equipes do Security Operations Center (SOC), à medida que monitoram e analisam a postura de segurança da sua empresa. Além de monitorar firewall em busca de indicadores de comprometimento (IoC) de DNS, as equipes de SOC também podem estar em busca de domínios semelhantes.