Cómo el Cato Cloud protege contra el túnel DNS

El Túnel del Sistema de Nombres de Dominio (DNS) es un método común para que los hackers exploten el servicio DNS con fines maliciosos, como exfiltrar datos sensibles de la organización o infiltrar malware. Este artículo explica cómo el motor IPS en el Cato Cloud protege su red de los ataques de malware del túnel DNS.

Cuando configura la política de IPS para bloquear el tráfico, esto también activa las protecciones del Cato Cloud contra los ataques del túnel DNS para su cuenta.

Detección de túnel DNS

El Cato Cloud analiza las solicitudes de DNS e identifica posibles ataques de túnel DNS basados en estas propiedades:

  1. Tamaño de paquete: la longitud de las solicitudes puede indicar comunicación anómala a través de DNS. Los paquetes de DNS grandes son anómalos e indican un posible ataque.

  2. Tipo de registro – Los registros de recursos (RR) que asignan dominios a direcciones IP (como registros A y AAAA) son los más comunes en el uso del protocolo DNS pero están restringidos a una longitud de respuesta corta. Cuando se intercambian datos a través de DNS, el uso de RR puede variar para permitir que se transporte más datos y puede indicar un ataque.

  3. Ratio único – Las consultas y respuestas DNS que llevan información codificada son probablemente únicas. Cuando hay un nivel alto de subdominios únicos en una consulta, esto puede indicar un ataque.

Bloqueo del túnel DNS

Para proteger a los clientes del túnel DNS relacionado con hackers maliciosos, Cato utiliza algoritmos de aprendizaje automático para detectar anomalías en todas las consultas de DNS salientes. El tráfico DNS entre cada sitio conectado al Cato Cloud y cada dominio único se analiza sin conexión en un período de 24 horas. Los dominios con una baja reputación que reciben consultas DNS anómalas frecuentes se registran automáticamente al día siguiente. Luego, la política de IPS para todas las cuentas puede bloquear el tráfico DNS relevante para estos dominios.

Además, Cato previene la exfiltración de datos a través del túnel DNS usando un conjunto de heurísticas que desencadenan al IPS para bloquear el tráfico. Estas heurísticas han sido probadas en múltiples herramientas y técnicas de túnel DNS. Esta prevención en tiempo real se logra incluso sin conocer al actor de la amenaza o el nombre del dominio, y complementa los algoritmos de aprendizaje automático de Cato.

Revisión de eventos para ataques bloqueados de túnel DNS

Puede revisar los eventos de seguridad en Inicio > Eventos y encontrar cualquier ataque de túnel DNS en su cuenta que el IPS haya bloqueado. Los eventos de IPS están etiquetados con el tipo de amenaza túnel DNS.

DNS_Tunneling_Event.png

Cato bloqueó un ataque de túnel DNS - ¿y ahora qué?

Si encuentra eventos de bloqueo para túnel DNS, aquí hay algunos pasos sugeridos a seguir:

  1. Aislar los hosts infectados de la red (en ambos firewalls WAN e Internet).

  2. Remediar los hosts con software de protección de endpoints y antimalware.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 3 de 3

0 comentarios