En la conferencia RSA 2019, el SANS Institute informó sobre nuevas variedades de ataque que consideraban altamente peligrosas. En esta publicación hablaremos sobre una de ellas
Un ataque descubierto por un instructor del SANS Institute puede utilizarse para tomar el control total de la infraestructura informática de una compañía sin necesidad de herramientas demasiado complejas, tan solo con una simple manipulación del Sistema de nombres de dominio (DNS).
Manipulación de la infraestructura DNS empersarial.
Así funciona el ciber-ataque:
Los ciber-criminales recopilan (por todos los medios) contraseña y nombre de usuario de cuentas comprometidas, de las cuales actualmente hay cientos de millones, si no miles de millones, en bases de datos conocidas, como Collection #1.
Utilizan estas credenciales para iniciar sesión en servicios de proveedores de DNS y de registradores de dominio.
Después, los intrusos modifican los registros del DNS, sustituyendo la infraestructura del dominio corporativo por las suyas propias.
En concreto, modifican el registro MX e interceptan los mensajes redirigiendo todos los correos electrónicos corporativos a su propio servidor de correo.
Los ciber-delincuentes registran certificados TLS para los dominios borrados. Entonces, ya pueden interceptar el correo corporativo y proporcionar una prueba de la propiedad del dominio, que en la mayoría de los casos es todo lo necesario para emitir un certificado
Después, los atacantes pueden redireccionar el tráfico que se dirige a los servicios de la compañía a sus propias máquinas. Como resultado, los visitantes de la página web de la empresa acceden a sitios falsos que parecen auténticos para todos los filtros y sistemas de protección. Ya nos enfrentamos por primera vez a esta situación en el 2016, cuando los investigadores de nuestro equipo GReAT en Brasil destaparon un ataque que permitió a los intrusos secuestrar la infraestructura de un banco importante.
Lo realmente peligroso de este ciberataque es que la víctima pierde el contacto con el mundo exterior. Secuestran el correo electrónico y, normalmente, también los teléfonos (la gran mayoría de las empresas utilizan telefonía IP). Todo esto complica tanto la respuesta al incidente como la comunicación con las organizaciones externas: proveedores de DNS, autoridades de certificación, fuerzas del orden y demás. ¿Te imaginas que todo esto tenga lugar en una semana? ¡Pues ese es el caso de este banco brasileño!
Cómo evitar el secuestro de tu infraestructura informática manipulando el DNS
Lo que en el 2016 no era más que una innovación en el mundo del ciber-crimen, se convirtió en un par de años en una práctica común. De hecho, en el 2018, muchas empresas líderes registraron su uso. Es decir, nos encontramos ante una amenaza real que podría utilizarse para aprovecharse de tu infraestructura informática.
Para protegerte contra la manipulación de los nombres de dominio de tu infraestructura, Ed Skoudis piensa que puedes seguir estos consejos de ciberseguridad:
Utilizar la autenticación de varios factores en las herramientas de gestión de tu infraestructura informática.
Utilizar DNSSEC, asegurándote de que no solo aplicas la firma DNS, sino también la validación.
Supervisa todos los cambios en el DNS que puedan afectar a los nombres de dominio de tu empresa, por ejemplo, puedes utilizar SecurityTrails, que admite hasta 50 solicitudes al mes de forma gratuita.
Supervisa los certificados antiguos que dupliquen tus dominios y solicita su anulación de inmediato.
Y, por último, recuerda utilizar contraseñas seguras. Deberían de ser lo suficientemente únicas y complejas como para resistir un ataque diccionario. Para generar contraseñas y almacenarlas de forma segura, puedes utilizar algún almacén de contraseñas para que sea más fácil generar .
Fuente: Wikipedia, kaspersky/blog, xataka, welivesecuirty y adslzone