0
0
Erros de configuração comuns na forma como o Domain Name System (DNS) é implementado em um ambiente corporativo podem colocar redes isoladas e os ativos de alto valor que visam proteger em risco de invasores externos, descobriram os pesquisadores.
As organizações que usam redes sem fio que se conectam a servidores DNS podem inadvertidamente expor os ativos a agentes de ameaças, resultando em violações de dados de alto impacto, revelaram pesquisadores da empresa de segurança Pentera em um post de blog publicado em 8 de dezembro .
Os invasores podem usar o DNS como um canal de comando e controle (C2) para se comunicar com essas redes por meio de servidores DNS conectados à Internet e, assim, violá-los mesmo quando uma organização acredita que a rede foi isolada com sucesso, revelaram os pesquisadores.
As redes air-gapped são segregadas sem acesso à Internet da rede de usuário comum em um ambiente de negócios ou corporativo de TI. Eles são projetados dessa maneira para proteger as “jóias da coroa” de uma organização, escreveram os pesquisadores, usando VPN, SSL VPN ou a rede dos usuários por meio de uma caixa de salto para que alguém tenha acesso a eles.
No entanto, essas redes ainda exigem serviços DNS, que são usados para atribuir nomes a sistemas para descoberta de rede. Isso representa uma vulnerabilidade se o DNS não for configurado com cuidado pelos administradores de rede.
“Nossa pesquisa mostra como as configurações incorretas de DNS podem afetar inadvertidamente a integridade das redes sem ar”, disse Uriel Gabay, pesquisador de ataques cibernéticos da Pentera, à Dark Reading.
O que isso significa para a empresa é que, ao abusar do DNS, os hackers têm uma linha de comunicação estável em uma rede aberta, permitindo que eles exfiltrem dados confidenciais enquanto sua atividade parece completamente legítima para os protocolos de segurança de uma organização, diz Gabay.
DNS como um protocolo altamente configurável
O erro mais comum que as empresas cometem ao configurar uma rede air-gapped é acreditar que estão criando um air-gap eficaz quando o acorrentam a seus servidores DNS locais, diz Gabay. Em muitos casos, esses servidores podem ser vinculados a servidores DNS públicos, o que significa que “eles quebraram involuntariamente seu próprio intervalo de ar”.
É importante entender como o DNS funciona para saber como os invasores podem navegar por suas complexidades para invadir um espaço aéreo, explicaram os pesquisadores em seu post.
O envio de informações pelo DNS pode ser feito solicitando um registro que o protocolo manipule – como TXT, um registro de texto ou NS, um registro de servidor de nomes – e colocando as informações na primeira parte do nome do registro, explicaram os pesquisadores. O recebimento de informações pelo DNS pode ser feito solicitando um registro TXT e recebendo uma resposta de texto para esse registro.
Embora o protocolo DNS possa ser executado no TCP, ele é baseado principalmente no UDP, que não possui um mecanismo de segurança embutido – um dos dois fatores principais que entram em jogo para um invasor tirar proveito do DNS, disseram os pesquisadores. Também não há controle sobre o fluxo ou sequência de transmissão de dados em UDP.
Graças a essa falta de detecção de erros no UDP, os invasores podem compactar uma carga útil antes de enviá-la e descompactá-la imediatamente após o envio, o que pode ser feito com qualquer outro tipo de codificação, como base64, explicaram os pesquisadores.
Usando DNS para quebrar um intervalo de ar
Dito isso, há desafios para os agentes de ameaças se comunicarem com sucesso com o DNS para quebrar um intervalo de ar. O DNS tem restrições quanto aos tiposde caracteres que aceita, portanto nem todos os caracteres podem ser enviados; aqueles que não podem são chamados de “maus personagens”, disseram os pesquisadores. Também há um limite no tamanho dos caracteres que podem ser enviados.
Para superar a falta de controle sobre o fluxo de dados no DNS, os agentes de ameaças podem notificar o servidor sobre qual pacote deve ser armazenado em buffer, bem como qual é o último pacote esperado, disseram os pesquisadores. Um pacote também não deve ser enviado até que um invasor saiba que o anterior chegou com sucesso, disseram eles.
Para evitar caracteres ruins, os invasores devem aplicar base64 nos dados enviados logo antes de enviá-los, enquanto podem dividir os dados em partes a serem enviadas uma a uma para evitar o limite de comprimento de caracteres do DNS, disseram eles.
Para contornar um defensor bloqueando uma solicitação de DNS bloqueando o acesso ao servidor do qual está sendo enviado, um invasor pode gerar nomes de domínio com base em variáveis que ambos os lados conhecem e esperam, explicaram os pesquisadores.
“Embora o executável não seja necessariamente difícil, um invasor ou grupo precisaria da infraestrutura para continuar a comprar registros raiz”, observaram.
Os invasores também podem configurar o malware para gerar um domínio no DNS com base em uma data, o que permitirá que eles enviem constantemente novas solicitações pelo DNS usando um novo domínio raiz conhecido, disseram os pesquisadores. A defesa contra esse tipo de configuração “será um desafio para as organizações que usam métodos estáticos ou mesmo com detecção básica de anomalias para detectar e prevenir”, disseram eles.
Mitigação de ataques de DNS em redes Air-Gapped
Com os ataques de DNS ocorrendo com mais frequência do que nunca – com 88% das organizações relatando algum tipo de ataque de DNS em 2022, de acordo com o último Relatório Global de Ameaças ao DNS da IDC – é importante que as organizações entendam como mitigar e se defender contra o abuso de DNS, os pesquisadores disse.
Uma maneira é criar um servidor DNS dedicado para a rede com gap de ar, Gabay disse a Dark Reading. No entanto, as organizações devem tomar cuidado para garantir que esse servidor não esteja vinculado a nenhum outro servidor DNS que possa existir na organização, pois isso “acabará com os servidores DNS na Internet”, diz ele.
As empresas também devem criar detecção baseada em anomalias na rede, utilizando uma ferramenta IDS/IPS para monitorar e identificar atividades DNS estranhas, diz Gabay. Dado que todos os ambientes corporativos são únicos, esse tipo de solução também será exclusivo para uma organização, diz ele.
No entanto, existem alguns exemplos comuns de qual tipo de comportamento anormal do DNS deve ser monitorado, incluindo: solicitações de DNS para domínios mal-intencionados; grandes quantidades de solicitações de DNS em um período de tempo muito curto; e solicitações de DNS feitas em horários estranhos. Gabay acrescenta que as organizações também devem implementar uma regra SNORTpara monitorar o comprimento dos registros DNS solicitados.
FONTE: DARK READING