La suplantación del servidor de nombres de dominio (DNS) es un ciberataque en el que un atacante dirige el tráfico de la víctima a un sitio malicioso (en lugar de una dirección IP legítima). Los atacantes utilizan el envenenamiento de la caché de DNS para interceptar el tráfico de Internet y robar credenciales o información confidencial. El envenenamiento de la caché de DNS y la suplantación de DNS son conceptos idénticos, que a menudo se utilizan como sinónimos. El hacker quiere engañar a los usuarios para que ingresen información personal en un sitio web inseguro. ¿Cómo puede lograrlo? Envenenando la caché de DNS. Para hacer esto, el pirata informático falsifica o reemplaza los datos DNS de un sitio específico y luego redirige a la víctima al servidor del atacante en lugar del servidor legítimo. Así, el hacker logra su objetivo, porque ante él se abren amplias oportunidades: puede llevar a cabo un ataque de phishing , robar datos o incluso inyectar malware en el sistema de la víctima.
¿Qué es la suplantación de DNS y el envenenamiento de caché?
Antes de comenzar a hablar sobre el envenenamiento de la caché de DNS, primero echemos un vistazo a qué son las DNS y el almacenamiento en caché de DNS. DNS es el directorio mundial de direcciones IP y nombres de dominio. Podemos decir que se trata de una especie de directorio telefónico de Internet. DNS traduce direcciones fáciles de usar como varonis.com en direcciones IP como 92.168.1.169, que las computadoras utilizan para trabajar en la red. El almacenamiento en caché de DNS es un sistema para almacenar direcciones en servidores DNS de todo el mundo. Para acelerar el procesamiento de sus consultas de DNS, los desarrolladores han creado un sistema de DNS distribuido. Cada servidor mantiene una lista de registros DNS que conoce, denominada caché. Si el servidor DNS más cercano a usted no tiene la dirección IP deseada, consulta los servidores DNS ascendentes hasta que se encuentra la dirección del sitio web al que está intentando acceder.Luego, su servidor DNS almacena esta nueva entrada en su caché para obtener una respuesta más rápida la próxima vez.
Ejemplos y consecuencias del envenenamiento de la caché de DNS
El concepto de DNS no se adapta a las particularidades de la Internet moderna. Por supuesto, el DNS ha evolucionado con el tiempo, pero ahora es suficiente tener un servidor DNS mal configurado para que millones de usuarios sientan el impacto. Ejemplo: ataque a WikiLeakscuando los atacantes utilizaron el envenenamiento de la caché de DNS para interceptar el tráfico, redirigiéndolo a su propio clon del sitio. El propósito de este ataque era desviar el tráfico de WikiLeaks y logró cierto éxito. El envenenamiento de la caché de DNS no es fácil de detectar para los usuarios normales. Actualmente, el DNS se basa en la confianza, y este es su punto débil. La gente confía demasiado en el DNS y nunca comprueba si la dirección de su navegador coincide con lo que realmente quieren. Los atacantes utilizan este descuido y falta de atención para robar credenciales y otra información importante.
¿Cómo funciona el envenenamiento de la caché de DNS?
Envenenar la caché de DNS significa que el servidor DNS más cercano a usted contiene un registro que lo envía a la dirección incorrecta, que generalmente está controlada por un atacante. Hay una serie de técnicas que utilizan los atacantes para envenenar la caché de DNS.
Interceptación del tráfico de LAN mediante ARP Spoofing
Se sorprenderá de lo vulnerable que puede ser una red local. Muchos administradores pueden estar seguros de que han bloqueado todos los accesos posibles, pero, como saben, el diablo está en los detalles.
Uno de los problemas comunes son los empleados que trabajan de forma remota . ¿Cómo puede estar seguro de que su red Wi-Fi está protegida? Los piratas informáticos pueden descifrar una contraseña de Wi-Fi débil en cuestión de horas.
Otro problema son los puertos Ethernet abiertosaccesible para todos en los pasillos, vestíbulos y otros lugares públicos. Imagínese: un visitante puede conectar un cable Ethernet a su dispositivo para la pantalla del vestíbulo. ¿Cómo puede un pirata informático utilizar el acceso a su red local obtenido de una de las formas anteriores? Primero, podrá crear una página de phishing para recopilar credenciales y otra información valiosa. Luego, puede alojar este sitio en una red local o en un servidor remoto, y para esto solo necesita una línea de código Python. El pirata informático puede comenzar a espiar la red utilizando herramientas especiales como Betterrcap. En este punto, el pirata informático examina la red y realiza un reconocimiento, pero el tráfico sigue pasando por el enrutador.Un atacante puede manipular el Protocolo de resolución de direcciones (ARP) para cambiar la estructura de la red desde dentro. Los dispositivos de red utilizan ARP para asociar la dirección MAC de un dispositivo con una dirección IP en una red. Bettercap enviará mensajes, lo que obligará a todos los dispositivos de la red a pensar en la computadora del hacker como un enrutador. Con este truco, un pirata informático podrá interceptar todo el tráfico de red que pasa por el enrutador. Una vez que se redirige el tráfico, un atacante puede iniciar el módulo Bettercap para falsificar DNS. Este módulo buscará solicitudes al dominio de destino y enviará respuestas falsas a la víctima. La respuesta falsa contiene la dirección IP de la computadora del atacante, redirigiendo todas las solicitudes al sitio de destino a una página de phishing creada por el atacante. El hacker ahora ve tráfico destinado a otros dispositivos en la red,recopila las credenciales ingresadas e inyecta descargas maliciosas.
Si el hacker no puede acceder a la red local, recurrirá a uno de los siguientes ataques.
Forjando respuestas con un ataque de cumpleaños
El DNS no autentica las respuestas a las consultas recursivas, por lo que la primera respuesta se almacena en caché. Los atacantes utilizan la llamada paradoja del cumpleaños para intentar predecir y enviar una respuesta falsa al solicitante. El ataque de cumpleaños utiliza las matemáticas y la teoría de la probabilidad para predecir . En este caso, el atacante intenta adivinar el ID de transacción de su solicitud de DNS y, si tiene éxito, el registro de DNS falso le llega antes de una respuesta legítima. No se garantiza que el ataque de cumpleaños tenga éxito, pero al final un atacante podrá almacenar en caché una respuesta falsa. Una vez que el ataque sea exitoso, el hacker podrá ver el tráfico desde el registro DNS falso hasta el final del ciclo de vida (TTL) del registro DNS....
es una variación del ataque de cumpleaños. Dan Kaminsky, quien descubrió esta vulnerabilidad, la presentó por primera vez en la conferencia BlackHat en 2008. La esencia del exploit es que el pirata informático envía primero una solicitud de resolución de DNS para un dominio inexistente, por ejemplo fake.varonis.com. Después de recibir dicha solicitud, el sistema de resolución de DNS lo redirige a un servidor de nombres autorizado para obtener la dirección IP del subdominio falso. En este punto, el atacante abruma al resolutor de DNS con una gran cantidad de respuestas falsas con la esperanza de que una de estas respuestas falsas coincida con el ID de transacción de la solicitud original. Si tiene éxito, el pirata informático falsifica la dirección IP en la caché del servidor DNS, por ejemplo, como en nuestro ejemplo con varonis.com. El solucionador seguirá respondiendo a todos los solicitantes de que la dirección IP falsa de varonis.com es real,hasta que expire el registro DNS.
DNS?
¿Cómo detectar si la caché de DNS está envenenada? Para hacer esto, necesita monitorear sus servidores DNS en busca de indicadores de un posible ataque. Sin embargo, nadie tiene la capacidad informática para manejar tales volúmenes de solicitudes de DNS. La mejor solución es aplicar análisis de seguridad de datos a su monitoreo de DNS. Esto distinguirá el comportamiento normal del DNS de los ataques maliciosos.
• Un aumento repentino en la actividad del DNS de una fuente contra un dominio indica un posible ataque de cumpleaños.
• Un aumento en la actividad de DNS de una sola fuente, que consulta a su servidor DNS por múltiples nombres de dominio sin recursividad, indica un intento de seleccionar un registro para un envenenamiento posterior.
Además de El monitoreo de DNS también debe monitorear los eventos de Active Directory y el comportamiento del sistema de archivos para detectar actividad anormal a tiempo. Mejor aún, use la analítica para encontrar la relación entre los tres vectores. Esto proporcionará información contextual valiosa para fortalecer su estrategia de ciberseguridad.
Métodos para protegerse contra el envenenamiento de la caché de DNS
Además de la supervisión y el análisis, puede realizar cambios en la configuración del servidor DNS:
- Limite las consultas recursivas para protegerse contra un posible envenenamiento de caché dirigido.
- almacenar solo datos relacionados con el dominio solicitado;
- limitar las respuestas solo a aquellas relacionadas con el dominio solicitado;
- exigir que los clientes utilicen el protocolo HTTPS.
Asegúrese de estar utilizando el último software BIND y DNS y, por lo tanto, tenga las últimas correcciones de vulnerabilidades. Si es posible, por ejemplo en el caso de trabajadores remotos, haga arreglos para que todos los equipos remotos estén conectados a través de una VPN. Esto protegerá el tráfico y las solicitudes de DNS para que no sean fisgoneadas localmente. Además, anime a los empleados a crear contraseñas seguras para las redes Wi-Fi a fin de mitigar los riesgos también.
Finalmente, use consultas de DNS encriptadas. Módulos de seguridad del servicio de nombres de dominio (DNSSEC)Es un protocolo DNS que utiliza consultas DNS firmadas para evitar la suplantación de identidad. Cuando se usa DNSSEC, el solucionador de DNS necesita verificar la firma con un servidor DNS autorizado, lo que ralentiza todo el proceso. Como resultado, DNSSEC aún no ha ganado una aceptación generalizada.
DNS sobre HTTPS (DoH) y DNS sobre TLS (DoT)son especificaciones que compiten para la próxima versión de DNS y, a diferencia de DNSSEC, están diseñadas para proteger las consultas de DNS sin sacrificar la velocidad. Sin embargo, estas soluciones no son ideales, ya que pueden ralentizar o hacer completamente imposible monitorear y analizar DNS localmente. Es importante tener en cuenta que DoH y DoT pueden eludir los controles parentales y otros bloqueos a nivel de DNS establecidos en la red. Independientemente, Cloudflare, Quad9 y Google tienen servidores DNS públicos con soporte DoT. Muchos clientes nuevos admiten estos estándares modernos, aunque el soporte está deshabilitado de forma predeterminada. Puede encontrar más detalles sobre esto en nuestra publicación sobre seguridad DNS .
La suplantación de DNS reemplaza la dirección IP legítima del sitio con la dirección IP de la computadora del pirata informático. Es muy difícil detectar la sustitución, porque desde el punto de vista del usuario final, ingresa una dirección de sitio web absolutamente normal en el navegador. A pesar de esto, tal ataque se puede detener. Los riesgos se pueden mitigar mediante el uso de la supervisión de DNS, por ejemplo, de Varonis , así como el estándar de cifrado DNS sobre TLS (DoT).
Envenenamiento de caché: preguntas frecuentes
Consulte las preguntas y respuestas habituales sobre la suplantación de DNS.
Envenenamiento de caché de DNS y suplantación de caché de DNS (suplantación de identidad) ¿es lo mismo?
Sí, el mismo tipo de ciberataque se llama envenenamiento de caché y suplantación de caché.
¿Cómo funciona el envenenamiento de la caché de DNS?
El envenenamiento de caché engaña a su servidor DNS para que almacene un registro DNS falso en él. Después de eso, el tráfico se redirige al servidor elegido por el pirata informático, donde se roban los datos.
¿Qué medidas de seguridad se pueden aplicar para proteger contra el envenenamiento de la caché de DNS?
Los propietarios del sitio pueden realizar tareas de supervisión y análisis para detectar la suplantación de DNS. También puede actualizar sus servidores DNS para utilizar Módulos de seguridad del sistema de nombres de dominio (DNSSEC) u otro sistema de cifrado como DNS sobre HTTPS o DNS sobre TLS. El uso generalizado del cifrado completo de un extremo a otro, como HTTPS, también puede evitar la suplantación de DNS. Los agentes de seguridad de acceso a la nube (CASB) son extremadamente útiles para estos fines. Los usuarios finales pueden vaciar una caché de DNS potencialmente falsificada al vaciar periódicamente la caché de DNS de su navegador o después de conectarse a una red pública o insegura. El uso de una VPN puede proteger contra la suplantación de DNS en la red local. Evite los enlaces sospechosos. Esto ayudará a evitar el riesgo de contaminar la caché de su navegador.
¿Cómo puede comprobar si ha sido afectado por un ataque de envenenamiento de caché?
Una vez que la caché de DNS se ha envenenado, es difícil de detectar. Una táctica mucho mejor es monitorear sus datos y proteger su sistema del malware para protegerse de las fugas de datos debido al envenenamiento del caché de DNS. Visite nuestro laboratorio interactivo de ciberataques para ver cómo usamos el monitoreo de DNS para detectar amenazas de ciberseguridad en el mundo real.
¿Cómo funciona la comunicación DNS?
Cuando un usuario final ingresa una URL como Varonis.com en su navegador, sucede lo siguiente:
- El navegador primero verificará su caché local en busca de datos DNS ya almacenados.
- Si faltan estos datos, consultará el servidor DNS ascendente, que suele ser su enrutador en la red local.
- DNS, , DNS, Google, Cloudflare Quad9.
- DNS- .
4.1. , DNS-, DNS « .com».
4.2. .com, « Varonis.com», URL.
4.3. « IP- Varonis.com», IP- . - Luego, los datos DNS se envían de nuevo a lo largo de la cadena hasta que llegan al dispositivo del usuario final. A lo largo de toda la ruta, cada uno de los servidores DNS escribirá la respuesta recibida en su propia caché para su uso posterior.
¿Cómo envenenan los atacantes la caché de DNS?
Hay muchas formas de envenenar la caché, y estas son las más comunes: obligar a la víctima a hacer clic en un enlace malicioso que usa código incrustado para cambiar la caché de DNS en el navegador del usuario; Hackear un servidor DNS local mediante un "ataque de intermediario". El "ataque del intermediario" mencionado anteriormente utiliza la suplantación del Protocolo de resolución de direcciones (ARP) para redirigir las solicitudes de DNS a un servidor DNS controlado por el atacante.
¿Qué es el envenenamiento de la caché de DNS?
El envenenamiento de la caché de DNS es el acto de reemplazar una entrada en la base de datos de DNS con una dirección IP que conduce a un servidor malintencionado controlado por un atacante.
¿Cómo se realiza la suplantación de DNS?
Un pirata informático realiza un ataque de suplantación de DNS obteniendo acceso y alterando la caché de DNS o redirigiendo las consultas de DNS a su propio servidor DNS.
¿Qué es la suplantación de identidad de DNS?
La suplantación de DNS significa que la URL que el usuario ingresa en un navegador, como varonis.com, en realidad no conduce a la dirección IP oficial correcta asociada con esa URL. En cambio, el usuario es redirigido a un servidor malicioso controlado por el pirata informático.
¿Por qué es peligrosa la suplantación de DNS?
La suplantación de DNS es peligrosa porque, por su propia naturaleza, se cree que el Sistema de nombres de dominio (DNS) es confiable, por lo que a menudo no está protegido por ningún tipo de cifrado. Esto lleva al hecho de que los piratas informáticos pueden falsificar registros en la caché de DNS para seguir robando datos, inyectando malware, phishing y bloqueando actualizaciones.
La principal amenaza que plantea un ataque de suplantación de DNS es el robo de datos a través de páginas de phishing. Además, existe el riesgo de que se introduzca malware bajo la apariencia de archivos descargables que parecen reales. Además, si el sistema se actualiza a través de Internet, un atacante puede bloquear la actualización cambiando los registros DNS para que no conduzcan al sitio deseado.