Attenzione al DNS Tunneling, il Cyber Attack ingegnoso.

Prima di parlare di DNS Tunneling è necessario ricordare che il Domain Name System (DNS) è il protocollo che traduce gli Uniform Resource Locator (URL) (indirizzi IP comprensibili dalla macchina, come 199.167.52.137) in nominativi comprensibili per l’uomo.

Il DNS è un protocollo fondamentale per internet e viene spesso descritto come la “rubrica di internet” perché mappa i nomi di dominio agli indirizzi IP.

La diffusione del DNS e i limitati controlli di sicurezza  correlati, permettono spesso di comunicare e scambiare dati al di fuori degli scopi originali del protocollo. Per tale ragione i criminali informatici hanno individuato tale punto debole del sistema ove poter sviluppare attività malevole.

Inoltre, poiché il DNS non è concepito come un via per trasportare dati, molte organizzazioni non monitorano il traffico DNS per rilevare eventuali attività dannosee  pertanto, diversi tipi di attacchi utilizzano tale piattaforma contro le reti aziendali. Il DNS Tunneling è uno di questi attacchi.

Come funziona il DNS Tunneling DNS

Gli attacchi di DNS Tunneling sfruttano il protocollo DNS per immettere malware e altri dati tramite un modello client-server.

1. L’attaccante registra un dominio, come badsite.com. Il DNS conseguentemente prende contatto con tale server registrato, dove è installato un programma di malware per il tunneling.
2. L’attaccante infetta un computer, che spesso si trova dietro il firewall di un’azienda. Poiché le richieste DNS sono sempre permesse all’interno e all’esterno del firewall, il computer infetto può inviare una query al DNS. Il DNS è un server che inoltra le richieste di indirizzi IP ai server di root e ai server di dominio di primo livello.
3. Il DNS instrada la query al server di comando e controllo dell’attaccante, dove è installato il programma di tunneling. Ora viene stabilita una connessione tra la vittima e l’attaccante tramite il risolutore DNS. Questo tunnel può essere utilizzato per esfiltrare dati o per altri scopi dannosi. Poiché non esiste una connessione diretta tra l’attaccante e la vittima, è più difficile rintracciare il computer dell’attaccante.

Il DNS Tunneling esiste da quasi 20 anni. Sia il malware Morto che Feederbot sono stati utilizzati per il DNS Tunneling. Gli attacchi di DNS tunneling più recenti includono quelli del gruppo di minacce DarkHydrus, che nel 2018 ha preso di mira enti governativi in Medio Oriente, e OilRig, che è operativo dal 2016 e risulta ancora attivo.

Prevenire il DNS Tunneling

Il DNS è uno strumento molto potente utilizzato ovunque, che consente alle applicazioni e ai sistemi di cercare risorse e servizi con cui interagire.

Il DNS fornisce una base di comunicazione che consente ai protocolli più avanzati e potenti di funzionare, ma può essere trascurato dal punto di vista della sicurezza, soprattutto se si considera quanto malware venga distribuito tramite i protocolli di posta elettronica o scaricato dal web utilizzando HTTP.
Per queste ragioni, il DNS è la scelta perfetta per gli avversari che cercano un protocollo sempre aperto, trascurato e sottovalutato da sfruttare per le comunicazioni da e verso host compromessi.
Le organizzazioni possono difendersi dal DNS Tunneling in vari modi, utilizzando sia la piattaforma di sicurezza di rete di Leonardo Networks che tecnologie open source. La difesa può assumere diverse forme, tra cui, ma non solo, le seguenti:

• Bloccare nomi di dominio (o indirizzi IP o regioni geografiche) in base alla reputazione nota o al pericolo percepito;
• Regole per query DNS “strane”;
• Regole sulla lunghezza, tipo o dimensione delle query DNS in entrata e in uscita;
• Indurire i sistemi operativi client e comprendere le capacità di risoluzione dei nomi, nonché il loro ordine di ricerca specifico;
• Analisi del comportamento degli utenti e/o dei sistemi che rilevano automaticamente anomalie, come l’accesso a nuovi domini, specialmente quando il metodo di accesso e la frequenza sono anomali;

Le migliori pratiche per la sicurezza DNS

• Formare ed educare il personale di sicurezza
  Implementare un programma di educazione e sensibilizzazione alla sicurezza per formare il personale a identificare minacce dannose. Incoraggiarli a prendere precauzioni quando seguono link per evitare di installare malware. La formazione sul phishing può aiutarli a riconoscere, evitare e segnalare attacchi tramite e-mail.
• Implementare un programma di intelligence sulle minacce
  Comprendere il panorama delle minacce e attivare un programma di intelligence sulle minacce per essere consapevoli dei diversi tipi di minacce e delle tecniche utilizzate dagli attaccanti oggi. Con queste informazioni, è possibile garantire di avere la giusta tecnologia per mantenere sicura la rete.
• Imparare cosa possono dirti i dati DNS
  Non limitarsi a guardare il traffico DNS. Raccogliere i log dei dati DNS ha poco valore se non si capisce cosa si sta osservando. Comprendendo i dati, puoi prevenire con successo minacce mai viste prima a livello DNS nella tua organizzazione.
• Non ritardare nella gestione di un risolutore DNS
  Se un server DNS viene compromesso, può fornirti risposte false per indirizzare il tuo traffico verso altri sistemi compromessi o consentire un attacco man-in-the-middle.
• Pianificare il rischio del lavoro remoto
  Sviluppare una strategia per la forza lavoro remota, poiché può mettere a rischio i dati sensibili dell’azienda. Avvertirli di non utilizzare Wi-Fi non sicuri, gratuiti o pubblici, in quanto gli avversari possono facilmente inserirsi tra i dipendenti e il punto di connessione. Integrare l’autenticazione multifattore e prepararsi al rischio di dispositivi persi o rubati.
• Approcciare la sicurezza della rete in modo olistico
  Adottare un approccio olistico alla sicurezza della rete e assicurarsi di disporre delle giuste capacità per affrontare vari vettori di minacce nella rete, facilmente integrabili nell’intero stack di sicurezza. Quando si valutano soluzioni di fornitori, è importante fare confronti diretti in prove di concetto. Ogni ambiente è diverso, e i test indipendenti e neutrali per la sicurezza a livello DNS non sono ancora stati stabiliti.
• Automatizzare le risposte e non solo gli avvisi
  Per proteggere con successo la tua organizzazione, è necessario rispondere automaticamente e non solo ricevere avvisi. La velocità con cui vengono eseguiti gli attacchi rende gli avvisi e i segnali inefficaci. Quando una minaccia viene identificata, potrebbe essere già troppo tardi. Il tuo team di sicurezza deve essere in grado di determinare automaticamente le minacce e mettere in quarantena i sistemi potenzialmente infetti prima che venga causato più danno. Per garantire che la tua organizzazione segua le migliori pratiche e ottimizzi il servizio di sicurezza DNS di Leonardo Networks, è possibile fare una valutazione delle migliori pratiche.

Fonte paloaltonetworks.com