Como a Cato Cloud protege contra túneis de DNS

Túnel do Nome do Sistema de Domínios (DNS) é um método comum para hackers explorarem o serviço DNS para fins maliciosos, como extrair dados sensíveis da organização ou infiltrar malware. Este artigo explica como o motor IPS na Cato Cloud protege sua rede de ataques de malware por túnel de DNS.

Ao configurar a Política de IPS para bloquear o tráfego, isso também ativa as proteções da Cato Cloud contra ataques de túnel DNS para sua conta.

Detectando túneis de DNS

A Cato Cloud analisa solicitações de DNS e identifica potenciais ataques de túnel DNS com base nas seguintes propriedades:

  1. Tamanho do pacote – O comprimento das solicitações pode indicar comunicação anômala sobre o DNS. Pacotes grandes de DNS são anômalos e indicam um possível ataque.

  2. Tipo de registro – Registros de recursos (RR) que mapeiam domínios para endereços IP (como registros A e AAAA) são mais comuns no uso do protocolo DNS, mas são restritos a um comprimento de resposta curto. Ao trocar dados sobre o DNS, o uso de RR pode variar para permitir o transporte de mais dados e pode indicar um ataque.

  3. Razão única – Consultas e respostas DNS que carregam informações codificadas provavelmente são únicas. Quando há um elevado nível de subdomínios únicos em uma consulta, isso pode indicar um ataque.

Bloqueando túneis de DNS

Para proteger os clientes de túneis de DNS relacionados a hackers maliciosos, Cato usa algoritmos de aprendizado de máquina para detectar anomalias em todas as consultas DNS de saída. O tráfego de DNS entre cada site conectado à Cato Cloud e cada domínio único é analisado offline por um período de 24 horas. Domínios com baixa reputação que recebem frequentes consultas DNS anômalas são cadastrados automaticamente no dia seguinte. Então, a política de IPS para todas as contas pode bloquear o tráfego DNS relevante para esses domínios.

Além disso, Cato previne a exfiltração de dados através de túneis de DNS usando um conjunto de heurísticas que acionam o IPS para bloquear o tráfego. Essas heurísticas foram testadas em várias ferramentas e técnicas de túnel de DNS. Esta prevenção em tempo real é alcançada mesmo sem conhecer o agente da ameaça ou o nome do domínio, e complementa os algoritmos de aprendizado de máquina da Cato.

Revisão de eventos para ataques de túneis de DNS bloqueados

Você pode revisar os Eventos de Segurança em Inicial > Eventos e encontrar quaisquer ataques de túnel DNS em sua conta que o IPS bloqueou. Os eventos de IPS são rotulados com o tipo de ameaça Túnel de DNS.

DNS_Tunneling_Event.png

Cato bloqueou um ataque de túnel de DNS - E agora?

Se você encontrar eventos de bloqueio para túnel de DNS, aqui estão algumas próximas etapas sugeridas:

  1. Isole os hosts infectados da rede (em ambos os firewalls WAN e Internet).

  2. Remediação dos hosts com software anti-malware e proteção de endpoints.

Esse artigo foi útil?

Usuários que acharam isso útil: 3 de 3

0 comentário