0
0
Quais técnicas de abuso de DNS são empregadas por adversários cibernéticos e quais organizações podem ajudar os respondentes a incidentes e as equipes de segurança a detectá-los, mitigá-los e evitá-los? A Matriz de Técnicas de Abuso de DNS publicada pela FIRST fornece respostas.
O Domain Name System (DNS) é uma parte crítica da Internet, e muitas vezes é abusado de muitas maneiras diferentes por agentes de ameaças maliciosas.
A FIRST é uma associação de equipes de resposta a incidentes de segurança de computadores (CSIRTs) de organizações governamentais, comerciais e educacionais, e atualmente tem mais de 600 membros espalhados pelo mundo. Entre seus muitos grupos de interesse especial (SIGs) está o DNS Abuse SIG, que compilou a Matriz de Técnicas de Abuso de DNS .
“Os CERTs são continuamente confrontados com abusos de DNS relatados e dependem fortemente da análise e infraestrutura de DNS para proteger seus constituintes”, observa o DNS Abuse SIG .
“Entender as normas consuetudinárias internacionais aplicáveis à detecção e mitigação do abuso de DNS da perspectiva da comunidade global de resposta a incidentes é fundamental para a estabilidade, segurança e resiliência da Internet aberta.”
Entendendo o abuso de DNS em suas diversas formas
O documento define 21 técnicas de abuso de DNS: falsificação de DNS , sequestro de resolvedor recursivo local, DNS como um vetor para DoS ou um canal para comunicação de comando e controle (C2), registro malicioso de domínios de segundo nível e outros.
As partes interessadas incluem registradores, registros e vários provedores (hospedagem, serviço de aplicativos, inteligência de ameaças) a CSIRTs e ISACs (centros de análise e compartilhamento de informações) e autoridades policiais e de segurança pública.
“Atualmente, o aconselhamento assume a forma de uma matriz que indica se uma parte interessada específica pode ajudar diretamente com uma técnica específica. Por ‘ajuda’, queremos dizer se a parte interessada está em posição de detectar, mitigar ou prevenir a técnica de abuso”, explicou o SIG.
“Organizamos essas informações em três planilhas que cobrem essas ações de resposta a incidentes. Por exemplo, durante um incidente envolvendo envenenamento de cache de DNS, a equipe pode acessar a guia de mitigação e examinar a linha de envenenamento de cache de DNS para descobrir quais partes interessadas podem contatar para ajudar a mitigar o incidente.”
A matriz não inclui técnicas que os invasores podem usar em conjunto com técnicas de abuso de DNS, nem abrange atualmente todos os meios existentes relacionados a políticas, governamentais e judiciais que os respondentes de incidentes podem explorar ao lidar com o abuso de DNS.
FONTE: HELPNET SECURITY