¿Qué Es el Túnel DNS?

El sistema de nombres de dominio, o DNS, es el protocolo que traduce URL amigables para el ser humano, como paloaltonetworks.com, a direcciones IP compatibles con la máquina, como 199.167.52.137. Los ciberdelincuentes saben que el DNS es ampliamente utilizado y de confianza. Además, debido a que el DNS no está diseñado para la transferencia de datos, muchas organizaciones no supervisan su tráfico de DNS en busca de actividad maliciosa. Como resultado, una serie de tipos de ataques basados en DNS pueden ser efectivos si se lanzan contra las redes de la empresa. La tunelización de DNS es uno de esos ataques.

Cómo funciona el túnel DNS

El túnel DNS aprovecha el protocolo DNS para canalizar malware y otros datos a través de un modelo cliente-servidor.

  1. El atacante registra un dominio, como badsite.com El servidor de nombres del dominio apunta al servidor del atacante, donde se instala un programa de malware de túnel.
  2. El atacante infecta un ordenador, que a menudo se encuentra detrás del firewall de una empresa, con malware. Dado que siempre se permite que las solicitudes DNS entren y salgan del firewall, el equipo infectado puede enviar una consulta al solucionador de DNS. El solucionador DNS es un servidor que transmite solicitudes de direcciones IP a servidores de dominio raíz y de nivel superior.
  3. El solucionador DNS enruta la consulta al servidor de comando y control del atacante, donde está instalado el programa de túnel. Ahora se establece una conexión entre la víctima y el atacante a través del solucionador DNS. Este túnel se puede utilizar para exfiltrar datos o para otros fines maliciosos. Debido a que no hay conexión directa entre el atacante y la víctima, es más difícil rastrear la computadora del atacante.

El túnel DNS existe desde hace casi 20 años. Tanto el malware Morto como el Feederbot se han utilizado para tunelizar DNS. Los ataques recientes de túneles incluyen los del grupo de amenazas Darkhydrous, que se dirigió a entidades gubernamentales en Oriente Medio en 2018, y OilRig, que ha estado operando desde 2016 y sigue activo.

¿Cómo impide que los atacantes usen DNS en su contra? Lea nuestro informe técnico para conocer los pasos que puede seguir para detener los ataques de DNS.

Share

Deja una respuesta

Tu dirección de correo electrónico no será publicada.