Malware DoH Ciberseguridad

Cómo protegerse del Malware que abusa de DNS sobre HTTPS o DoH

29/12/20 6 min. de lectura

DNS sobre HTTPS (DoH) es un protocolo para realizar la resolución remota del Sistema de nombres de dominio (DNS) a través del protocolo HTTPS. El estándar propuesto fue publicado como RFC 8484 (octubre de 2018) por el IETF.

El objetivo principal de este protocolo es aumentar la privacidad y seguridad del usuario evitando escuchas y la manipulación de datos DNS por ataques intermedios (MiTM) mediante el uso del protocolo HTTPS para cifrar los datos entre el cliente DoH y el resolver DNS basado en DoH.

En resumen, DoH es realmente simple. En lugar de ir al puerto 53 de un servidor DNS y pedir un nombre a través de un paquete UDP o TCP, DoH estandariza la construcción de un GET o POST a un dominio HTTPS, por lo que la respuesta será un json con los registros A y AAAA ( el RFC no especifica otros registros) con la IP.

Por ejemplo, podemos probar los diferentes servicios de DoH rápidamente:

$ curl -H ‘accept: application/dns-json’ ‘https://mozilla.cloudflare-dns.com/dns-query?name=example.com&type=A’

{“Status”: 0,”TC”: false,”RD”: true, “RA”: true, “AD”: true,”CD”: false,”Question”:[{“name”: “example.com.”, “type”: 1}],”Answer”:[{“name”: “example.com.”, “type”: 1, “TTL”: 5859, “data”: “93.184.216.34”}]}

Servicios DoH

Pero el protocolo es una espada de doble filo… ⚔️

DoH ofrece una nueva oportunidad de privacidad para los usuarios, pero también otra oportunidad para los desarrolladores de malware.

El malware generalmente llega a los servidores de comando y control (C2) bajo el control del atacante para extraer datos robados o solicitar instrucciones. Las organizaciones comúnmente mantienen listas negras de DNS de dominios maliciosos conocidos, si una solicitud de DNS se dirige a uno de esos dominios, se activará inmediatamente una alerta. Sin embargo, si se encapsulan y se cifran las peticiones DNS mediante DoH, ya no se identificarán tan fácilmente estas peticiones por lo que esto puede ser un nuevo problema para los equipos de seguridad.

Y el malware evidentemente no tardó en incorporar está técnica 🦠

Varios investigadores de seguridad de Netlab descubrieron e informaron de las primeras muestras de malware que usaba DoH el 1 de julio de 2019. Concretamente el malware Godlua en la segunda y tercera fase utilizaba DNS sobre HTTPS para obtener la dirección de su C2.

El registro DNS TXT se almacenaba en el archivo de código de bytes Lua (start.png) en texto sin formato. Desensamblándolo:

Malware Godlua

Posteriormente el malware enviaba una petición DoH para resolver ese DNS TXT:

Petición DoH

La respuesta era un registro cifrado del DNS TXT:

Que en texto plano devolvía:

{“u”:”http:\/\/img1.cloudappconfig.com\/%s.png”,”c”:”img1.cloudappconfig.com::43.224.225.220:”}

Otro malware identificado en septiembre de 2019 usando DoH era PsiXBot, de uso general en Windows pero que se hizo especialmente mediático porque en sus últimas versiones introdujo un módulo que activaba la webcam y el micrófono si se reproducía pornografía en el ordenador de la víctima.

Este troyano contenía dominios hardcodeados de comando y control (C2) cifrados con RC4 que recuperaba mediante el servicio DoH de Google.

Por ejemplo, se observaron peticiones y respuestas como esta:

Todos los servidores de C&C observados usaban HTTPS con certificados Let’s-Encrypt y había indicadores que demostraban el posible uso de una botnet con fast-flux.

Y ya más recientemente, a finales de julio de 2020,Kapersky identificó oficialmente al primer actor que incorporaba DoH en sus ataques. Se trataba del grupo iraní Oilrig (APT34) y lo hacía mediante la herramienta de código abierto DNSExfiltrator, la cual usaba para manejar datos y moverlos lateralmente a través de redes internas y luego exfiltrarlos a un punto externo.

Medidas que puedes tener en cuenta contra los ataques DoH 🎆

En los últimos meses se ha observado la incorporación de DoH en el panorama de ciberamenzas para evadir los controles de muchas organizaciones. Se recomienda tener en cuenta las siguientes medidas genéricas contra esta técnica:

  • Monitorizar el tráfico a DNS a través de endpoints HTTPS (DoH) y, si no es posible, bloquear este tipo de tráfico de red o instalar resolvers internos DoH, o DNS a través de TLS (DoT).
  • Siempre que sea posible, inspeccionar el tráfico HTTPS subyacente en busca de indicadores de uso de DoH donde TLS se inspeccione dentro de la organización. Es decir, tipos de contenido ‘application/dns-json’, ‘application/dns-message’.
  • Buscar posibles indicadores de “domain fronting” en los que el nombre de host de la conexión TLS saliente no coincida con el encabezado de host HTTP subyacente.
  • Aplicar detecciones basadas en heurísticas o anomalías de tamaños de paquetes, frecuencia y volumen, tiempos, etc. del tráfico saliente.
  • Se están considerando otras detecciones donde no es posible el stripping de TLS, como recopilar fingerprints de cualquier observable en el comportamiento del cliente SSL utilizando una herramienta como JA3.

Principales conclusiones 🧠

Al usar los servicios DoH, los atacantes pueden ocultar las consultas DNS a los dominios del C2. A menos que SSL/TLS esté siendo inspeccionado mediante técnicas man-in-the-middle (MitM), las consultas DNS al servidor C2 pasarán por tanto desapercibidas. Es necesario encontrar una manera de proteger a las organizaciones de esta amenaza.

La mayor preocupación es que muchas empresas no tienen registro, ni telemetría ni formas efectivas de mitigar el abuso del uso de este nuevo protocolo. Y ya hay varias campañas de malware que utilizan DoH para la resolución C2 y encubren la comunicación a través de registros TXT.

vicente motos

Vicente Motos

Santander Global Tech

Actualmente trabajo en el departamento de Threat Response de Santander enfocado a la inteligencia táctica, el análisis de amenazas y la ingeniería. Autodidacta y apasionado de la in-seguridad informática y el hacking desde hace muchos años, participo activamente en la comunidad y soy autor de numerosos posts técnicos.

 

👉 Mi perfil de LinkedIn

 

Otros posts