¿Qué es un ataque DoH y cómo prevenirlo?

DoH (DNS sobre HTTPS) realiza una resolución remota del Sistema de nombres de dominio (DNS) a través del protocolo HTTPS. El estándar propuesto fue publicado en octubre de 2018 por el IETF (Grupo de Trabajo de Ingeniería de Internet), y su objetivo principal es aumentar la privacidad y la seguridad del usuario evitando las escuchas y la manipulación de sus datos DNS desde ataques intermedios (MiTM). 

 

DoH ofrece una nueva oportunidad de privacidad para los usuarios, pero también otra para los desarrolladores de malware. Este malware generalmente llega a los servidores de comando y control (C2) para extraer datos robados o solicitar instrucciones. Las organizaciones comúnmente mantienen listas negras de DNS de dominios maliciosos conocidos. Así, si una solicitud de DNS se dirige a uno de esos dominios, se activa inmediatamente una alerta. Sin embargo, si se encapsulan y se cifran las peticiones DNS mediante DoH, ya no se identificarán tan fácilmente, lo que genera un nuevo problema para los equipos de seguridad.

 

Varios investigadores de seguridad de Netlab descubrieron e informaron de las primeras muestras de malware que usaba DoH el 1 de julio de 2019. Concretamente, el malware Godlua utilizaba DNS sobre HTTPS para obtener la dirección de su C2. El registro se almacenaba en el archivo de código de bytes start.png, o sea, en un texto sin formato. 

 

Otro malware similar, identificado en septiembre de 2019, fue PsiXBot, de uso general en Windows, pero que se hizo especialmente mediático porque en sus últimas versiones introdujo un módulo que activaba la webcam y el micrófono si se reproducía pornografía en el ordenador de la víctima. Este troyano contenía dominios hardcodeados de comando y control (C2) cifrados con RC4 que recuperaba mediante el servicio DoH de Google.

 

Todos los servidores de C&C (Mando y control) observados utilizaban HTTPS con certificados Let’s-Encrypt, y había indicadores que demostraban el posible uso de una botnet con fast-flux.

 

Más recientemente, a finales de julio de 2020, Kapersky identificó oficialmente al primer actor que incorporaba DoH en sus ataques. Se trataba del grupo iraní Oilrig (APT34), y lo hacía mediante la herramienta de código abierto DNSExfiltrator, la cual usaba para manejar datos y moverlos lateralmente a través de redes internas para luego exfiltrarlos a un punto externo.

 

En los últimos meses se ha observado la incorporación de DoH en el panorama de ciberamenzas para evadir los controles de muchas organizaciones. Desde Santander Global Tech se recomienda tener en cuenta las siguientes medidas genéricas contra esta técnica:

 

• Monitorizar el tráfico a DNS a través de endpoints HTTPS (DoH). Si no es posible, bloquear este tipo de tráfico de red o instalar resolvers internos DoH, o DNS a través de TLS (DoT).

 

• Siempre que sea posible, inspeccionar el tráfico HTTPS subyacente en busca de indicadores de uso de DoH donde TLS se inspeccione dentro de la organización. Es decir, tipos de contenido ‘application/dns-json’, ‘application/dns-message’.

 

• Buscar posibles indicadores de “domain fronting” en los que el nombre de host de la conexión TLS saliente no coincida con el encabezado de host HTTP subyacente.

 

• Aplicar detecciones basadas en heurísticas o anomalías de tamaños de paquetes, frecuencia y volumen, tiempos, etc. del tráfico saliente.

 

• Se están considerando otras detecciones donde no es posible el stripping de TLS, como recopilar fingerprints de cualquier observable en el comportamiento del cliente SSL utilizando una herramienta como JA3.

 

Al usar los servicios DoH, los atacantes pueden ocultar las consultas DNS a los dominios del C2. A menos que SSL/TLS esté siendo inspeccionado mediante técnicas man-in-the-middle (MitM), las consultas DNS al servidor C2 pasarán desapercibidas. Es necesario encontrar una manera de proteger a las organizaciones de esta amenaza.

 

La mayor preocupación es que muchas empresas no tienen registro, ni telemetría ni formas efectivas de mitigar el abuso del uso de este nuevo protocolo. Y ya hay varias campañas de malware que utilizan DoH para la resolución C2 y encubren la comunicación a través de registros TXT.