DNS, o el coladero que no cesa

DNS, o Domain Name Server, no es otra cosa que el protocolo de internet que convierte los nombres de dominios en una dirección IP que permite a los servidores identificarse dentro de una red. Fue inventado por Paul Mockapetris en 1983, años después de que recordar la dirección numérica asignada a cada uno de los ordenadores de una red se viera como sistema poco práctico. El Sistema de Nombres de Dominio concebido por Mockapetris es un sistema jerárquico similar a un sistema de archivos de ordenador. Recordar un nombre es siempre más fiable, pero además puede que la dirección numérica cambie sin que tenga que cambiar el nombre. Y hay que tener en cuenta que en el caso de que una página web utilice una red de distribución de contenidos, o CDN (Content Delivery Network), por medio del DNS el usuario recibirá la dirección IP del servidor más cercano según su localización geográfica (cada CDN a su vez tiene sus propios servidores DNS).

Este contenido fue el tema de portada del número de junio de la revista IT Digital Security, disponible desde este enlace.

Actualmente DNS es lo que nos permite navegar por Internet adecuadamente. Si el DNS falla, los usuarios que estén intentando acceder a una página web no podrán hacerlo. Pero la tremenda importancia del DNS aún se ha multiplicado en los últimos años, cuando su responsabilidad está pasando del departamento de comunicaciones o infraestructuras de las empresas a los responsables de ciberseguridad. Y eso, explica Raúl Flores, Senior Systems Engineer de Infoblox, es por dos razones: la primera porque es un protocolo muy crítico, ya que si falla el DNS interno la gente no se puede conectar a las aplicaciones internas, y si falla el externo estás invisibles en internet. Además, en los dos últimos años “se ha viso que es un protocolo muy atacable, ganando incluso al protocolo HTTP”, asegura el ejecutivo de Infoblox.

Las consultas de DNS estándar, que no es otra cosa que escribir una dirección en la barra del navegador, crean oportunidades para las explotaciones de DNS, como puede ser el secuestro de DNS, o DNS hijacking, y los ataques man-in-the-middle. Estos ataques pueden redirigir el tráfico entrante de un sitio web a una copia falsa del sitio, recopilar información confidencial del usuario y exponer a las empresas.

El 2018 Global DNS Threat Report de EfficientIP, un proveedor de servicios de seguridad de DNS, descubrió que más del 75% de las compañías eran víctimas de ataques de DNS. El informe recoge además que coste medio de un ataque de DNS se ha incrementado un 57%, situándose en 715.000 dólares.

Ataque a DNS

Atacar el DNS no sólo puede echar abajo toda una empresa, sino que permite a los ciberdelincuentes comprobar el funcionamiento de la misma. Que sea tan importante no significa que sea segura. De hecho, es una parte que suele pasarse por alto. “Muchas organizaciones no se dan cuenta de que DNS es un vector de ataque crítico”, dice Raúl Flores, añadiendo que a menudo se encuentran sin las protecciones adecuadas, desactualizado o vulnerable.

Hay diferentes tipos de ataque contra el DNS. Estos ataques toman muchas formas y tienen una variedad de objetivos. Algunos, como los DDoS, están diseñados para que el DNS no esté disponible. Otros, como el envenenamiento de caché, están diseñados para desviar a los usuarios a sitios web maliciosos; mientras que otros están diseñados para usar DNS como un vector para robar datos privados.

Uno de ellos, últimamente muy popular, es el Secuestro de Dominio, o Domain hijacking, que puede redireccionar el tráfico desde los servidores originales a nuevos destinos. Una vez que los ciberdelincuentes secuestran el nombre de dominio, lo utilizarán para iniciar actividades maliciosas, como configurar una página falsa de sistemas de pago como PayPal, Visa o instituciones bancarias. Los atacantes crearán una copia idéntica del sitio web real que registra información personal crítica, como direcciones de correo electrónico, nombres de usuario y contraseñas.

El DNS Flood Attack, o Ataque de inundación de DNS, es un ataque de DDoS cuyo objetivo es simplemente sobrecargar el servidor para que no pueda continuar atendiendo las solicitudes de DNS. Es un ataque complicado de gestionar cuando involucra cientos o miles de hosts y además puede camuflarse en medio de una oleada de solicitudes de DNS legales que confundan los mecanismos de defensa, lo que hace que el trabajo el sistema de mitigación sea un poco más difícil.

El envenenamiento de caché, también conocido como DNS Spoofing, es uno de los ataques DNS más comunes. Se trata de un ataque que localiza y explota vulnerabilidades que existen en un sistema de nombres de dominio para atraer el tráfico de un servidor legítimo a uno falso. Una vez que el ataque ha tenido éxito los ciberdelincuentes pueden optar por mostrar páginas de phishing para robar información personal

DNS Tunneling, o tunelización de DNS, es un ciberataque eficaz que los ciberdelincuentes utilizan para obtener información confidencial. El concepto de tunelización de DNS se diseñó originalmente como una forma sencilla de evitar los portales cautivos en el borde de la red, pero al igual que ocurre otras veces, a menudo se utiliza para propósitos maliciosos. La carga útil de datos se puede agregar al DNS de una organización y se puede usar como un método de comando y control y/o exfiltración de datos.

Además de comprometer a la organización objetivo, el atacante también debe controlar un dominio y un servidor que pueda actuar como un servidor autorizado para ese dominio con el fin de ejecutar los programas de tunelización y decodificación del lado del servidor. Lo peligroso de este tipo de método es que, para muchas organizaciones, la tunelización de DNS ni siquiera es sospechosa y, por lo tanto, un riesgo de seguridad significativo, pero en los últimos años ha habido una serie de violaciones a la seguridad a gran escala mediante el uso de túneles DNS, que afectan a millones de cuentas.

A menudo se confunde con el DNS spoofing, pero el DNS Hijacking es un ataque DNS diferente. La mayoría de las veces, la falsificación de DNS o el envenenamiento de la memoria caché solo implica sobrescribir los valores de la memoria caché de DNS local con valores falsos para que pueda ser redirigido a un sitio web malicioso, mientras que el secuestro de DNS (también conocido como redirección de DNS) a menudo involucra infecciones de malware para secuestrar este importante servicio de sistema. En este caso, el malware alojado en el sistema puede alterar las configuraciones de TCP/IP para que puedan apuntar a un servidor DNS malicioso, uno que eventualmente redireccionará el tráfico a un sitio web de phishing.

Explican los expertos que el DNS Hijacking, o Secuestro de DNS es una de las formas más fáciles de realizar un ataque de DNS, ya que no implica técnicas complicadas y existen muchos scripts automatizados que permiten realizar este tipo de ataque.

El Random Subdomain Attack es, por el contrario, un ataque poco habitual sobre el sistema DNS. Los ataques de subdominios aleatorios a menudo se pueden etiquetar como ataques DoS porque los ciberdelincuentes envían muchas consultas de DNS contra un nombre de dominio válido y existente; sin embargo, las consultas no se dirigirán al nombre de dominio principal, sino a muchos subdominios no existentes. El objetivo de este ataque es crear un DoS que saturará el servidor DNS autoritario que alberga el nombre de dominio principal y, finalmente, provocará la interrupción de todas las búsquedas de registros DNS.

Se trata de un ataque que es difícil de detectar, ya que las consultas procederán de redes de bots de usuarios infectados que ni siquiera saben que están enviando este tipo de consultas.

Los ataques NXDOMAIN son ataques DDoS simétricos que involucran a una gran cantidad de clientes DNS que envían consultas para dominios inválidos o inexistentes. Como resultado, el servidor DNS gasta recursos valiosos en el procesamiento de solicitudes falsas en lugar de proporcionar servicios DNS legítimos. Cuando un servidor DNS está bajo un ataque NXDOMAIN, los clientes no pueden obtener respuestas válidas porque la memoria caché del servidor DNS está inundada de resultados NXDOMAIN.

El objetivo principal de este ataque es hacer que el servidor DNS invierta tiempo, software y recursos de hardware en solicitudes ilegítimas que eviten y causen fallas en el servicio para las legítimas.

Un ataque de dominio fantasma, o Phantom Domain Attack, se produce cuando el atacante configura dominios "fantasmas" que no responden a las consultas de DNS. En circunstancias normales, el servidor DNS se comunica con servidores autorizados para resolver consultas. Cuando ocurren ataques de dominio fantasma, el servidor continúa consultando servidores que no responden, lo que hace que gaste recursos valiosos en espera de respuestas. Cuando los recursos se consumen completamente, el servidor DNS puede descartar consultas legítimas, causando serios problemas de rendimiento.

DNSSpionage

A finales de 2018 Cisco Talos detectó una campaña de ataque a la que bautizó como DNSpionage que hizo saltar la voz de alarma. Explicaba en aquel entonces la compañía que los ataques estaban dirigidos contra dominios .gov del Líbano y Emiratos Árabes, así como contra una compañía aérea privada que dejaba claro que los ciberdelincuentes se habían tomado su tiempo para comprender la infraestructura de red de las víctimas con el fin de permanecer y actuar lo más discretamente posible durante sus ataques. El malware utilizado en este ataque soportaba tanto las comunicaciones HTTP como DNS para conectar son los servidores de comando y control.

Según datos de Talos los ciberdelincuentes que estaban detrás de DNSpionage pudieron robar el correo electrónico y otras credenciales de inicio de sesión de varias entidades gubernamentales y del sector privado en el Líbano y los Emiratos Árabes Unidos al secuestrar los servidores DNS para estos objetivos.

Meses después, en enero de 2019 FireEye lanzó un informe titulado Global DNS Hijacking Campaign: DNS Record Manipulation at Scale, con información técnica sobre la campaña de espionaje. Por las mismas fechas el Departamento de Seguridad Nacional de Estados Unidos publicó una directiva ordenando a las agencias federales que aseguraran las credenciales de inicio de sesión para sus registros de dominio de Internet. Y hace tan sólo unas semanas Talos volvió a publicar información que pone de manifiesto que los actores detrás de DNSpionage siguen activos y modifican sus tácticas para mejorar la eficiencia de sus operaciones, incluido el uso de una nueva fase de reconocimiento que escoge de manera selectivo qué objetivos hay que infectar con malware. También se detectó también un nuevo malware conocido como Karkoff.

En las conclusiones explicaban los investigadores de Talos que la tunelización de DNS es un método popular de exfiltración para algunos actores, y que “debemos asegurarnos de que el DNS sea monitorizado tan de cerca como el proxy o weblog normal de una organización. El DNS es esencialmente el directorio telefónico de Internet, y cuando se manipula, resulta difícil para cualquiera discernir si lo que están viendo en línea es legítimo. El descubrimiento de Karkoff también muestra que el actor está girando y está intentando cada vez más evitar la detección mientras se mantiene muy concentrado en la región del Medio Oriente”.

DNS y Malware

La variedad de ataques que puede sufrir el sistema de nombres de dominio deja clara su importancia. Como dice Raúl Flores, de Infoblox, “el DNS no es solo un vector de ataque en sí mismo, es un componente importante de los ataques de malware y phishing en la actualidad”. A este respecto hay que destacar que el DNS se utiliza en más del 91% de las comunicaciones de malware, para contactar a los servidores de Comando y Control (C&C).

Si bien en los últimos años se ha apostado por aplicar visibilidad a todo lo que ocurre en la web, parece que el tráfico del DNS ha quedado al margen, algo que han aprovechado los ciberdelincuentes en su propio beneficio para establecer la comunicación con su centro de comando y control (C&C). 

Generalmente, el malware muestra tres fases de comunicación: registro, comunicación de C&C y exfiltración de datos. De estos, la mayoría del malware usa DNS para dos propósitos: registro con su C&C y exfiltración de datos

Una vez que se establece la comunicación con el C&C, el malware puede ejecutar diferentes acciones para después enviar los resultados a su maestro. El malware tradicional utilizaba comunicaciones HTTPS para enmascarar su tráfico, pero los detectores de malware recientes emplean técnicas que están acabando con estos métodos de exfiltración, lo que ha llevado a los ciberdelincuentes a filtrar datos a través de DNS. Si bien el proceso es más lento que la exfiltración tradicional, puede ser más sigiloso, lo que permite que el malware no sea detectado durante mucho tiempo.

Es algo que ya está ocurriendo. Malware como WTimeRAT o Ismdoor Trojan ya están utilizando el DNS como sistema de comunicación.

Mencionar el caso de WannaCry/Crypt, en el que se utilizó el DNS como un mecanismo de interruptor de interrupción. Esto no se sabía inicialmente, ya que se pensaba que era una comunicación de C&C. Sin embargo, las consultas a los dominios del interruptor de interrupción dieron a los operadores mucha información sobre qué suscriptores estaban infectados con este malware.

Claro que el paso lógico de la industria ha sido dotar de inteligencia al DNS para la detección de comportamientos maliciosos en ese vector. El gran volumen de tráfico de registro de DNS y la complejidad de aislar el malware de estos datos han dado lugar a varios modelos estadísticos y de aprendizaje automático diseñados para detectar malware. Estos modelos generalmente intentan identificar el malware basándose en el análisis de nombres de dominio, como la frecuencia de los caracteres, las palabras mal formadas y más. O bien, con el análisis de los patrones de tráfico, como el número de solicitudes en un período corto, las ráfagas de solicitudes consistentes en un período determinado y más. Esto coloca al DNS en una excelente posición para no ser solo parte del problema, sino también una parte importante de la solución.

DNSSEC

Hace unos meses la Internet Corporation for Assigned Names and Numbers (ICANN), encargados de gestionar los elementos técnicos del sistema de nombres de dominios, hacía un llamamiento para la implementación de DNSSEC. Como el diseño original del DNS no incluía la seguridad, DNSSEC (Domain Name System Security Extensions, Extensiones de seguridad para el Sistema de Nombres de Dominio) buscan aumentar la seguridad, y al mismo tiempo mantener la compatibilidad con lo más antiguo.

Entre otras cosas, DNSSEC agrega firmas de cifrado a los registros DNS de dominio existentes con el fin de asegurar su validez y hacer que sea imposible para los atacantes modificar las entradas de DNS, es decir, reemplazar las direcciones de los servidores previstos con las direcciones de las máquinas controladas por ellos. DNSSEC también puede garantizar que las comunicaciones entre las aplicaciones y las organizaciones a través de SSL y VPN sean confiables.

DNSSEC no es algo nuevo, ni mucho menos. Existe desde hace dos década, pero su despliegue es limitado: menos del 20% en todo el mundo según datos de febrero de 2019, mientras que entre las empresas que forman parte del Fortune 1.000 el índice baja hasta un preocupante 3%.

Aseguraban desde la ICANN que con DNSSEC se habrían evitado ataques de secuestro de DNS que habían aparecido en los titulares en los últimos dos meses. Se refería el organismo a un estudio de FireEye de primeros de este año que reveló una campaña de meses de duración llevada a cabo por ciberdelincuentes iraníes que piratearon las cuentas de registrador de dominios y alojamiento web para cambiar los registros DNS de dominios de correo electrónico pertenecientes a empresas privadas y entidades gubernamentales. Este ataque, de secuestro de DNS, permitió a los estafadores redirigir el tráfico legítimo a sus propios servidores maliciosos, donde interceptaron las credenciales de inicio de sesión y luego reenviaron el tráfico a los servidores de correo electrónico legítimos.

La organización quiere que los propietarios de dominios y la industria de la tecnología presionen más para la adopción de DNSSEC con la esperanza de detener o limitar los futuros ataques de secuestro de DNS, algo que ve como una gran amenaza para todo Internet.

Vulnerables

Quizá la mayor alerta contra la seguridad de los DNS que pude recordarse es el ataque a Dyn, un pionero en gestión de DNS e infraestructuras cloud que en 2016 sufrió un ataque que dejó inactivos los servicios de Facebook, Twitter o la CNN. El golpe provocó la pérdida de cientos de clientes y que meses después fuera comprado por Oracle.

Dos años después, en octubre de 2018, un estudio ponía de manifiesto que la mayoría de las empresas eran vulnerables a ataques DNS. De manera más concreta, el 72% de las empresas de la lista Fortune 100 son vulnerables a este tipo de ataques. Además, tres de cada cinco empresas del Fortune 500 tampoco estarían preparadas para un ataque similar al sufrido por DYN.

Por otra parte, un 44% de los 25 principales proveedores de SaaS son vulnerables, según datos del informe DNS Infraestructures Performance Report de ThousandEyes.

“Sin DNS, no hay Internet. Es la forma en que los usuarios encuentran las aplicaciones, los sitios y los servicios de una empresa en Internet. Un ataque o un problema de rendimiento de DNS puede tener un impacto crítico en la experiencia del cliente, los ingresos y la reputación de la marca", dice en su informe Angelique Medina, responsable de marketing de ThousandEyes, que asegura que incluso las decisiones más básicas de DNS pueden determinar cómo se percibe la aplicación o el servicio de una empresa y, en última instancia, cómo se percibe una marca en general.