Visibilizar a los actores de amenazas DNS
Actores de amenazas DNS: ¿Por qué es necesario visibilizarlos?
Juan de la Vara, Senior Manager Solution Architect Sur de Europa, Infoblox
Como cualquier otra actividad, el cibercrimen también funciona con una “cadena de suministro”, de la que habitualmente sólo se conoce el “producto final”, es decir, el agente malicioso último que genera el daño. Sin embargo, en esa cadena participan varios actores intermedios sin cuya contribución muchos ataques no podrían realizarse y entre ellos, los actores maliciosos DNS son un proveedor relevante. Lo primero que se necesita para poder combatirlos es dotarlos de identidad e visibilidad para toda la comunidad de ciberseguridad.
Si uno sigue de forma habitual las informaciones sobre ataques cibernéticos o brechas de seguridad sufridas por organizaciones de todo el mundo, se da cuenta de que las informaciones periodísticas fundamentalmente se centran en dos cosas: el mal ocasionado y el “villano” de turno, es decir, el agente de “malware” que ha originado el ataque.
Pero, ¿es realmente posible identificar de forma unívoca y categórica el “agente” de un ataque, y adjudicarle en exclusiva el protagonismo del mismo? ¿acaso no tiene “cómplices”? En el ámbito de la ciberseguridad se utiliza el término actor para describir de manera neutral una entidad que podría ser un individuo, una empresa, un grupo o un estado nación. En el ámbito de la ciberseguridad es frecuente que sean los propios proveedores de ciberseguridad los que ponen nombre a una amenaza o ataque detectado y casi siempre hacen referencia a un elemento de malware, que podríamos denominar el “autor material” del ataque. Esto es lógico. La mayoría de las empresas y organizaciones que se dedican a identificar y mitigar ciberamenazas se focalizan en luchar contra los actores de malware más o menos conocidos y sus evoluciones, sin detenerse a analizar qué otros elementos maliciosos han contribuido a hacer posible ese ataque, es decir, los “cómplices”.
Uno de estos cómplices son los actores de amenazas basados en dominios y DNS, es decir, agentes, mecanismos, tecnologías, etc. que utilizan DNS como plataforma o vector que hace posible el ataque final, cualquiera que sea la forma que adopte. Y esto no es algo marginal: según al NSA americana, más del 90% de todo el malware que se genera aprovecha de algún modo el sistema de nombres de dominio (DNS) en algún momento del ciclo de vida del ataque. El problema está en que los actores que controlan la infraestructura DNS utilizada en estos ataques rara vez se distinguen del malware, cuando en realidad suelen ser distintos.
Esto nos lleva a plantearnos que, como cualquier otra actividad, el cibercrimen también presenta una “cadena de suministro” en la que participan varios actores para llevar a cabo la entrega final del producto, y entre ellos, los actores maliciosos DNS son un proveedor relevante. Así como Scattered Spider utilizó el ransomware denominado BlackCat para atacar a la cadena hotelera MGM, existen actores de amenazas que proporcionan infraestructura DNS, es decir, nombres de dominio y alojamiento, a actores de malware.
Identificarlos y distinguirlos del ataque final es el primer paso para hacerles frente. Las relaciones entre dominios y direcciones IP pueden ser difíciles de reconocer y la infraestructura puede estar completamente separada de cualquier malware específico. Es por ello importante que la comunidad comience a otorgar entidad propia a estos actores de amenazas basados en dominios y DNS, como entidades que controlan la infraestructura DNS con fines maliciosos.
Si bien llevan existiendo desde hace décadas, los actores de amenazas basadas en DNS generalmente no son reconocidos como tales. Estos actores a menudo mantienen una infraestructura durante años sin ser detectados por los proveedores de soluciones de ciberseguridad, o lo que es peor, ser considerados como actores legítimos por los principales verificadores de reputación de código abierto. Un buen ejemplo es VexTrio, un actor de amenazas basadas en DNS que utiliza un algoritmo de generación de dominios de diccionario (DDGA) para hacer crecer continuamente su red. VexTrio había estado operando durante más de dos años, generando diferentes tipos de malware, adware y estafas.
Los proveedores tradicionales sí han detectado y catalogado esa actividad maliciosa, pero sin vincularla a la red VexTrio y sin poner de manifiesto que la actividad de esta red es un elemento fundamental en dichas amenazas. Por ello es necesario un análisis desde una perspectiva de DNS, para ir más allá de la amenaza inmediata y contemplar también todos los servicios o actores que son utilizados para generar la amenaza.
En definitiva, es necesario visibilizar estas operaciones que se ejecutan en la sombra e identificar claramente los actores que están detrás de ellas como actores de amenazas DNS. Darles un nombre y establecer sus patrones de operación es el primer paso para monitorizarlos, identificar la infraestructura que utilizan y detectar nuevos dominios y direcciones IP potencialmente maliciosos a medida que surgen. Asociar un tipo de malware o una campaña a un actor de amenaza de malware a veces puede ser sencillo, pero a menudo requerirá un análisis sofisticado. Lo mismo ocurre con los actores de amenazas DNS. En algunos casos, el actor DNS puede utilizar servidores de nombres dedicados que persisten en el tiempo, pero más a menudo, determinar si un nombre de dominio o dirección IP está controlado por un actor puede ser un proceso complejo.
