Ao planejar sua estratégia de segurança, não se esqueça do DNS

Quer tenham ou não consciência disto, todas as organizações dependem do sistema de nomes de domínio (DNS, na sigla em inglês). É o DNS que permite às pessoas encontrar seu site, comprar no seu app de comércio eletrônico e lhe enviar e-mails. Trata-se de um serviço crucial não só para o seu negócio, mas para a internet como um todo.

Sendo assim, faz sentido que os servidores DNS tenham se tornado um alvo comum para os criminosos cibernéticos:

• 82% das empresas sofreram ataque a DNS no último ano.
• 63% das empresas experimentaram tempo de inatividade em aplicativos como resultado de ataque a DNS.
• Em 2017 e 2018, foram relatados sequestros generalizados de DNS, tendo como alvo diversos setores em 12 países diferentes.
• 80% dos malwares usam o DNS para estabelecer conexão com servidores de comando e controle (C2), a fim de roubar dados e espalhar softwares maliciosos.

Se a sua empresa combate ataques baseados em DNS apenas bloqueando nomes de domínio totalmente qualificados (FQDNs, na sigla em inglês), continue lendo. Os atores maliciosos e os vetores de ataque estão se tornando mais sofisticados — e a sua segurança deveria fazer o mesmo.

Métodos comuns de ataque a DNS

Os servidores DNS, em si, nem sempre são o alvo dos ataques baseados em DNS. Em vez disso, o invasor normalmente explora a funcionalidade do protocolo DNS, a fim extrair dados confidenciais do seu ambiente.

Muitas vezes, quando um usuário na sua rede visita acidentalmente um site malicioso, um malware é instalado na máquina de conexão. Após a máquina ser infectada, o malware utiliza o DNS para se conectar ao servidor C2, a fim de receber instruções e executá-las. Uma vez que o invasor tenha se estabelecido no seu ambiente, o potencial de propagação do malware aumenta consideravelmente.

Outros métodos proeminentes de ataque a DNS incluem:

• Sequestro de domínio: pode envolver alterações não autorizadas nos registros DNS e/ou no registrador de domínios, o que direciona o tráfego do servidor original para um novo destino (geralmente malicioso).
• Inundação de DNS: é uma negação de serviço distribuída (DDoS, na sigla em inglês) que afeta a disponibilidade dos servidores DNS.
• Falsificação de DNS (envenenamento de cache): os invasores exploram vulnerabilidades do sistema e tentam injetar dados maliciosos no cache dos resolvedores de DNS.
• Tunelamento de DNS: quando uma máquina está infectada, o malware explora o DNS para roubar dados sensíveis e receber instruções do servidor C2 de um invasor.

Uma recente violação de DNS relatada pelo SecureList ilustra a dimensão do desafio:

"Em meados de maio [de 2020], pesquisadores israelenses relataram uma nova vulnerabilidade oculta no processo de delegação dos servidores DNS. O esquema de exploração da vulnerabilidade foi apelidado de "NXNSattack". O hacker envia a um servidor DNS legítimo uma solicitação para vários subdomínios dentro da zona confiável do servidor DNS malicioso. Em resposta, o servidor malicioso delega a solicitação para um grande número de servidores NS falsos dentro do domínio-alvo, sem especificar os endereços IP deles. Como resultado, o servidor DNS legítimo consulta todos os subdomínios sugeridos, o que faz o tráfego aumentar em 1.620 vezes."

O que torna o DNS tão vulnerável

O caráter essencial da funcionalidade DNS dentro das organizações faz com que haja vários riscos de brecha na segurança:

• Como o acesso à internet é necessário 24x7, há um esforço para garantir que as operações de DNS nunca sejam interrompidas, mesmo para inspeções de segurança.
• A maioria das solicitações de DNS não são restritas e, portanto, têm permissão para passar por dispositivos de segurança, criando uma possível abertura para os invasores explorarem.
• Algumas organizações tentam bloquear os ataques a DNS criando uma lista negra de "nomes de domínio perigosos". No entanto, os invasores contornam as restrições usando algoritmos de geração de domínio (DGA, na sigla em inglês). Isso lhes permite criar e alternar milhares de domínios para manter intacto o C2 entre o cliente e o servidor, mesmo que alguns dos domínios estejam bloqueados.
• Atualizar manualmente e de forma constante a crescente lista negra de domínios maliciosos gera uma sobrecarga administrativa substancial. 

Como proteger seu sistema contra ataques a DNS

Para resolver essa ameaça crescente, a Palo Alto Networks lançou um novo recurso chamado DNS Security, que é usado em combinação com a funcionalidade antispyware fornecida por meio da licença Threat Prevention. Esse recurso usa um serviço de nuvem que é atualizado em tempo real, a partir de vários feeds, a fim detectar o tráfego direcionado a domínios maliciosos conhecidos, bem como a domínios criados a partir de um algoritmo de geração de domínios (DGA).

O recurso DNS Security usa informações sobre domínios maliciosos conhecidos, obtidas de feeds confiáveis de inteligência contra ameaças, e as combina com machine learning e análise preditiva para identificar e bloquear dinamicamente o acesso a domínios criados por DGAs.

Quando um cliente envia uma solicitação a um domínio malicioso, o firewall de última geração da Palo Alto (com o DNS Security configurado) intercepta o tráfego e compara a solicitação DNS com as informações no banco de dados da nuvem. Se a solicitação aparecer no banco de dados como maliciosa ou houver suspeita de tunelamento de DNS, será possível descartar a solicitação automaticamente. Isso não só permite que a conexão seja interrompida como também informa ao analista que há na rede um dispositivo a exigir investigação mais aprofundada.

Conte com nossos especialistas

Podemos ajudar você a assumir o controle do seu DNS, por meio do nosso serviço gratuito de gerenciamento de DNS — incluído em todas as contas de nuvem. Saiba mais sobre os serviços de DNS na Rackspace Technology e nossa gama completa de soluções de segurança.