Encontrar una aguja en un pajar es difícil, pero no es nada comparado con encontrar una sola pieza de heno en el pajar que se colocó allí con intenciones maliciosas.

Como Verisign señaló en su » Informe de la industria de nombres de dominio » de agosto de 2018 , había alrededor de 339.8 millones de dominios registrados al final del segundo trimestre, con aproximadamente 7.9 millones de dominios nuevos registrados en el último año. Además, los proveedores públicos del Sistema de nombres de dominio (DNS) registran cientos de miles de millones de consultas todos los días. Cloudflare informó que atiende 130 mil millones de consultas de DNS por día, y en 2014, Google informó que atendió más de 400 mil millones de consultas de DNS por día. Además, Let’s Encrypt emite alrededor de 600,000 certificados digitales por día.

Enterrada en toda esta información hay pistas sobre compromisos pasados, ataques continuos y futuras campañas de malware. El objetivo del análisis avanzado de DNS es transformar estos datos en inteligencia de amenazas accionables, que permite a los equipos de seguridad bloquear nombres de dominio, detectar dispositivos infectados, identificar amenazas internas y evaluar la seguridad de seguridad general de una organización.

¿Por qué son importantes los análisis de DNS?

El DNS es un componente crítico de internet. Es esencialmente una guía telefónica que traduce los nombres de dominio en direcciones IP. Debido a su ubicuidad, el DNS proporciona un canal muy atractivo para que los actores avanzados de amenazas exploten el sistema DNS para una variedad de vectores de amenazas.

La imagen de abajo muestra las diferentes formas en que los actores utilizan incorrectamente el DNS en los ataques, agrupados por las etapas de la Cadena de Gartner Cyber ​​Kill . Por ejemplo, un nombre de dominio que se parece a un dominio conocido puede ser pasado por alto fácilmente por un usuario en un correo electrónico de phishing , o los atacantes pueden registrar nombres de dominio que esperan que las víctimas escriban mal su destino, una táctica conocida como typosquatting.

DNS Analytics

El protocolo DNS también es uno de los pocos protocolos de aplicación que pueden cruzar perímetros de red de organizaciones. Como tal, el DNS proporciona un canal para que los actores de amenazas y los operadores de redes de bots establezcan canales de comunicación difíciles de bloquear y furtivos entre los dispositivos infectados y las infraestructuras de comando y control (C&C). Estos incluyen flujo rápido, algoritmos de generación de dominios (DGA) y combinaciones de los mismos, así como el uso del protocolo DNS para filtrar información secreta con técnicas de túneles encubiertos.

Hoy en día, las organizaciones suelen emplear reglas y filtros basados ​​en listas negras para bloquear nombres de dominio maliciosos conocidos. Sin embargo, el monitoreo integral del tráfico de DNS a menudo se pasa por alto en las estrategias de ciberseguridad de muchas organizaciones. Eso no quiere decir que el monitoreo de DNS sea trivial; en general, los ataques basados ​​en DNS no pueden ser detectados por una sola búsqueda de DNS, pero requieren análisis avanzados del contexto, incluido el historial de búsquedas, el contenido de la respuesta y la correlación con fuentes de datos adicionales, incluido el análisis proactivo del contenido del sitio web.

Los 4 tipos de análisis de DNS avanzado

Podemos comenzar a comprender los múltiples tipos de análisis de DNS avanzados al dividirlos en cuatro categorías según el uso del análisis:

  1. Inteligencia de amenazas : identificación de dominios maliciosos (por ejemplo, en cuclillas, comando y control, nombre comprometido).

  2. Detección de infección: detección de puntos finales infectados (p. Ej., Patrones de comportamiento sospechoso).

  3. Categorización de dominios: categorización automática de nombres de dominio (por ejemplo, dominios similares a dominios conocidos no deseados).

  4. Marcadores forenses: proporcionan información procesable para análisis forense (por ejemplo, búsquedas y respuestas pasadas).

La primera categoría utiliza el análisis de DNS para generar una nueva inteligencia de amenazas que se puede usar para bloquear nombres de dominio, lo que impide el acceso futuro a dominios maliciosos. El enfoque aquí está en la identificación temprana de dominios maliciosos, tal vez incluso antes de que se hayan propagado y utilizado activamente en un ataque. La segunda categoría, la detección de infecciones, consiste en encontrar sistemas comprometidos rápidamente en función del comportamiento sospechoso de DNS. Cuanto más rápidamente se pueden detectar los puntos finales comprometidos, más rápido se pueden remediar, lo que limita el daño que se hace.

La categorización de dominios es similar a la inteligencia de amenazas, pero es más amplia en cuanto a que los dominios se pueden clasificar como juegos de azar, juegos o con otros marcadores de clasificación, en lugar de marcarlos como explícitamente maliciosos o no. Los marcadores forenses aportan datos demostrables sobre información histórica. Debido a que el DNS es altamente dinámico, con asociaciones entre direcciones IP y nombres que cambian a gran velocidad, es importante mantener el historial exacto de la dirección IP que un punto final resolvió en el pasado como parte de una búsqueda de amenazas o una investigación forense .

Detectar amenazas de seguridad con un enfoque proactivo

Se han realizado importantes investigaciones sobre el uso de los análisis de DNS para detectar flujos rápidos y DGA publicados en los años transcurridos desde que el investigador de seguridad de IBM, Douglas L. Schales, socializó el concepto en un informe titulado «Cálculo de la corriente para gran escala, Análisis de amenazas cibernéticas multicanal: Arquitectura «Implementación, implementación y lecciones aprendidas». Teniendo en cuenta las categorías anteriores y el acceso a grandes flujos de datos de consultas de DNS en curso, datos de registro de nombres de dominio (WHOIS) e información de registro de certificados digitales, ¿qué tipos de análisis podemos realizar para identificar la seguridad? amenazas?

La detección anticipada de amenazas es un enfoque avanzado para proteger a los usuarios de dominios maliciosos. En general, la protección de dominio malicioso implica un enfoque de tiempo de uso en un navegador. La detección anticipada de amenazas es un enfoque fundamentalmente diferente para encontrar dominios potencialmente maliciosos y los actores malos detrás de esos dominios, antes de que se vea una amenaza real a la seguridad.

Los actores de amenazas suelen generar dominios maliciosos aplicando métodos de generación, por ejemplo, en cuclillas de dominio. La detección anticipada de amenazas encuentra esos dominios maliciosos recién registrados en Quad9 e identifica a los actores detrás de los dominios. Los análisis adicionales sobre datos relacionados (análisis de WHOIS y comparación de imágenes de sitios, por ejemplo) pueden reducir la posibilidad de un falso positivo.

Tenemos un enfoque diferente para la protección frente a amenazas. Encuentra sitios de phishing de dominios famosos de manera proactiva, lo que hace posible monitorear el ciclo de vida de los dominios maliciosos. Hemos investigado alrededor de 1 millón de dominios potencialmente maliciosos y encontramos que la cantidad de dominios sospechosos existentes para los sitios de criptomoneda es bastante mayor que la de otros dominios famosos. Podemos investigar la tendencia de los dominios maliciosos y mejorar el análisis mediante la aplicación de tecnologías básicas.

El análisis de contenido e información se basa en la rápida transmisión de consultas de DNS. Dichos análisis se han utilizado para detectar túneles DNS, con el objetivo de identificar la exfiltración de datos y otros canales ocultos a través de DNS. La idea es filtrar rápidamente el tráfico que no es de túneles y marcar las actividades sospechosas, como las consultas repetidas a un dominio en particular, para una revisión adicional. Esta técnica analítica se describió en un artículo de investigación titulado » Límites completos prácticos en la comunicación subrepticia sobre DNS «.

El análisis volumétrico se puede usar para detectar actividad de DNS sospechosa identificando picos anómalos en el tráfico de consultas de DNS. Cuando los picos de tráfico para un nombre de dominio dado, los picos para los dominios benignos a menudo tienen un comportamiento normal inmediatamente anterior y posterior al pico, mientras que los picos en las consultas de dominios maliciosos no lo hacen. El análisis volumétrico de DNS también se puede usar para detectar ataques de reconexión de DNS al caracterizar la diferencia entre la resolución benigna de direcciones IP (uso común) y el uso malicioso para los ataques de encuadernación.

Enfóquese en los datos al limitar el alcance de su análisis

Si bien los análisis volumétricos son extremadamente efectivos, se pueden obtener eficiencias limitando el alcance del análisis. Esto se puede hacer reconociendo que los actores maliciosos utilizan principalmente el DNS de una de estas dos formas:

  1. Nuevos dominios creados para el ataque.
  2. Dominios existentes secuestrados por actividad maliciosa.

El enfoque en los dominios recientemente observados (NOD) permite el análisis de detección temprana que responde a la observación de un nuevo dominio, lo que permite la detección temprana de dominios maliciosos en ausencia de un conocimiento completo sobre el dominio. Del mismo modo, centrarse en los cambios en un dominio existente limita el volumen de datos que deben procesarse y permite la detección temprana.

Utilizando la técnica adversarial de flujo rápido, un atacante recorre rápidamente un gran número de direcciones IP diferentes para un nombre de dominio en un intento de evitar ser bloqueado. Schales describió dos técnicas de análisis para la detección rápida de flujos utilizando MapReduce y Feature Collection and Correlation Engine (FCCE) en “ Análisis analíticos escalables para detectar el uso indebido de DNS para establecer canales de comunicación sigilosos ”, que se publicó en la edición especial de 2016 del IBM Journal of Research and Desarrollo en Ciberseguridad.

Otra forma de reducir el volumen de los datos de consulta de DNS es centrarse en las resoluciones de dominio fallidas (NXDOMAIN). En ese mismo documento, Schales describió el uso de esta técnica para detectar el flujo de dominios, una técnica contradictoria mediante la cual el malware calcula de forma algorítmica los dominios para su servidor de C&C e intenta resolver estos dominios hasta que encuentra un servidor activo. Al observar los nombres de dominio fallidos, esta técnica extrae 43 características de cada dominio, por ejemplo, si está codificado con código de puny, el idioma (s) de las palabras del diccionario que contiene, etc. Utilizando estas características, la técnica calcula una confianza ponderada Puntuación para medir la probabilidad de que el dominio pertenezca a un clúster de dominio malicioso.

En muchas implementaciones, el volumen de consultas y respuestas de DNS es un desafío para escalar, tanto en la unidad central de procesamiento (CPU) como en la memoria. Los intentos de realizar un análisis en profundidad de cada nombre de DNS simplemente no escalarán. Para abordar esto, estamos explorando el uso de algoritmos de boceto / transmisión, que son típicamente algoritmos de aproximación que operan de manera muy eficiente. Los utilizamos como un método de primera línea para identificar candidatos para un análisis en profundidad. Esto, combinado con una tienda de alta velocidad que contiene un historial reciente de datos de DNS, ha demostrado ser altamente escalable.

Sé creativo para separar lo malicioso de lo benigno

Cada una de estas técnicas de análisis de DNS avanza el objetivo de encontrar y eliminar amenazas rápidamente y ayudar a los analistas de amenazas a tomar las mejores y más rápidas determinaciones posibles utilizando métodos únicos de análisis de datos DNS. El análisis predictivo basado en el análisis de DNS reduce la complejidad de las operaciones de seguridad al proporcionar inteligencia de amenazas procesable. Los análisis de DNS también ayudan a los cazadores de amenazas a reducir sus investigaciones al proporcionar más indicadores. La investigación está en curso en este campo, por lo que podemos esperar ver formas más interesantes de procesar el alto volumen de datos DNS en inteligencia procesable.

Cuando MythBusters corrió para encontrar la aguja en un pajar, el co-anfitrión Adam Savage hizo flotar el heno sobre el agua para que la aguja se hundiera debajo del heno. IBM Research se está acercando al análisis avanzado de DNS de formas igualmente novedosas para separar lo malicioso de lo benigno de la manera más eficiente posible.

Fuente: Securityintelligence.com

Compartir