Otro paso en la escalera de los canales encubiertos basados en DNS: ocultando información mal dispuesta en los RRs DNSKEY
Autores: Anagnostopoulos, Marios; Seem, John André
Idioma: Inglés
Editor: MDPI
Año: 2019
Acceso abierto
Artículo científico
2019
Otro paso en la escalera de los canales encubiertos basados en DNS: ocultando información mal dispuesta en los RRs DNSKEY
Categoría
Gestión y administración
Subcategoría
Gestión de la tecnología y la inovación
Palabras clave
Canal encubierto
Comunicaciones
Cibercriminales
Mecanismos de seguridad
Protocolo DNS
Extensiones de Seguridad DNS
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 1
Citaciones: Sin citaciones
Las comunicaciones a través de canales encubiertos son de vital importancia para los propósitos malintencionados de los cibercriminales. A través de estos canales, son capaces de comunicarse de manera sigilosa, sin ser notados por los defensores y eludiendo los mecanismos de seguridad de las redes protegidas. Los canales encubiertos facilitan la distribución oculta de datos a agentes internos. Por ejemplo, un canal encubierto sigiloso podría ser beneficioso para un botmaster que desea enviar comandos a su ejército de bots, o para exfiltrar datos corporativos y privados sensibles de una red interna de una organización. Durante la evolución de Internet, se ha explotado una plétora de protocolos de red como canales encubiertos. Sin embargo, el protocolo DNS tiene una posición prominente en esta carrera de explotación, ya que es uno de los pocos protocolos que rara vez es restringido por políticas de seguridad o filtrado por cortafuegos, y por lo tanto cumple perfectamente con los requisitos de un canal encubierto. Por lo tanto, hay más de unos pocos casos en los que el protocolo y la infraestructura DNS son explotados en incidentes de seguridad bien conocidos. En este contexto, el trabajo en cuestión propone investigar la viabilidad de explotar las Extensiones de Seguridad de DNS (DNSSEC) como un canal encubierto. Demostramos que es beneficioso y bastante sencillo incrustar los datos arbitrarios de elección de un agresor dentro del registro de recursos DNSKEY, que normalmente proporciona la clave pública de una zona de dominio habilitada para DNSSEC. Dado que DNSKEY contiene la clave pública codificada en formato base64, puede ser fácilmente explotada para la difusión de un mensaje encriptado o esteganográfico, o incluso para la distribución de un binario de malware codificado en una cadena base64. Con este fin, implementamos una prueba de concepto basada en dos software de servidor de nombres prominentes, a saber, BIND y NDS, y publicamos en la jerarquía DNS datos personalizados de nuestra elección ocultos como la clave pública de la zona DNS bajo nuestra jurisdicción para demostrar la efectividad del canal encubierto propuesto.
Descripción
Las comunicaciones a través de canales encubiertos son de vital importancia para los propósitos malintencionados de los cibercriminales. A través de estos canales, son capaces de comunicarse de manera sigilosa, sin ser notados por los defensores y eludiendo los mecanismos de seguridad de las redes protegidas. Los canales encubiertos facilitan la distribución oculta de datos a agentes internos. Por ejemplo, un canal encubierto sigiloso podría ser beneficioso para un botmaster que desea enviar comandos a su ejército de bots, o para exfiltrar datos corporativos y privados sensibles de una red interna de una organización. Durante la evolución de Internet, se ha explotado una plétora de protocolos de red como canales encubiertos. Sin embargo, el protocolo DNS tiene una posición prominente en esta carrera de explotación, ya que es uno de los pocos protocolos que rara vez es restringido por políticas de seguridad o filtrado por cortafuegos, y por lo tanto cumple perfectamente con los requisitos de un canal encubierto. Por lo tanto, hay más de unos pocos casos en los que el protocolo y la infraestructura DNS son explotados en incidentes de seguridad bien conocidos. En este contexto, el trabajo en cuestión propone investigar la viabilidad de explotar las Extensiones de Seguridad de DNS (DNSSEC) como un canal encubierto. Demostramos que es beneficioso y bastante sencillo incrustar los datos arbitrarios de elección de un agresor dentro del registro de recursos DNSKEY, que normalmente proporciona la clave pública de una zona de dominio habilitada para DNSSEC. Dado que DNSKEY contiene la clave pública codificada en formato base64, puede ser fácilmente explotada para la difusión de un mensaje encriptado o esteganográfico, o incluso para la distribución de un binario de malware codificado en una cadena base64. Con este fin, implementamos una prueba de concepto basada en dos software de servidor de nombres prominentes, a saber, BIND y NDS, y publicamos en la jerarquía DNS datos personalizados de nuestra elección ocultos como la clave pública de la zona DNS bajo nuestra jurisdicción para demostrar la efectividad del canal encubierto propuesto.