Os servidores DNS (Domain Name System ou Sistema de Nomes de Domínios) facilitam a navegação na internet todos os dias, pois traduzem endereços nominais (ex.: sites) em endereços IPs, tornando o processo muito mais simples para a memória da maioria dos usuários. Imagine ter que guardar 15 diferentes combinações numéricas para acessar os serviços web que você usa mais regulamente. Não é uma missão impossível, mas é muito mais fácil digitar www.google.com.br do que http://192.168.5.5/, por exemplo.
Essa tradução de IP em domínio facilita nosso dia-a-dia. Mas também pode esconder grandes riscos, caso não seja dada a atenção suficiente para a segurança. Os ataques a servidores DNS são de difícil identificação para o usuário, o que os torna ainda mais eficazes para os objetivos do atacante.
Direcionar para destinos suspeitos
As técnicas mais comuns de ataques DNS buscam como resultado o direcionamento incorreto do destino solicitado pelo usuário. Para isso, atacantes usam duas técnicas principais: o envenenamento de cache (DNS Poisoning) e o sequestro de servidor (DNS Hijacking).
Envenenamento
Para diminuir a sobrecarga no servidor, os sistemas DNS costumam gravar as informações de páginas visitadas regularmente para, num acesso futuro, acelerar seu carregamento a partir do histórico (cache).
No entanto, essa técnica que visa acelerar as requisições de redirecionamento de domínio, também representa um risco, pois um atacante pode se infiltrar no servidor DNS, com o objetivo de modificar as informações registradas no cache.
Tendo sucesso, o atacante pode mudar o número do IP de destino, sem efetivamente mudar o endereço que o usuário digitou no navegador.
Na técnica DNS Poisoning o foco do ataque é o servidor de DNS.
Sequestro
Por outro lado, um atacante pode utilizar malware com objetivo de sequestrar as requisições de tradução de domínio e redirecionar o tráfego para um servidor DNS malicioso.
Ou seja, ao invés de atacar o servidor de DNS original, o criminoso contamina o dispositivo local ou rede com uma aplicação maliciosa capaz de interceptar as solicitações de tráfego e direcioná-las para um servidor controlado pelo criminoso, que irá, finalmente, enviar o usuário para um destino falso.
Na técnica DNS Hijacking o foco do ataque é ativo local (dispositivo).
As páginas maliciosas para as quais o usuário pode ser direcionado são, em geral, clonadas (uma técnica de phishing) com objetivos diversos: disseminar cargas de malware ou aplicações indesejadas, minerar criptomoedas, roubar informações em formulários de acesso falsificados etc. E como o usuário digitou o domínio correto, dificilmente identificará de forma ágil que foi vítima deste tipo de engenharia.
Causar sobrecarga e indisponibilidade de sistemas
No entanto, o DNS pode ser utilizado em outro tipo de ação maliciosa, amplificando os ataques de negação de serviço. A técnica do DDoS tem por objetivo criar sobrecarga num sistema, até que não seja capaz de sustentar o volume de requisições e fique indisponível. Ao utilizar um servidor DNS, o ataque DDoS pode ter dois efeitos:
- Em lugar de direcionar tráfego de uma botnet diretamente para a vítima, o atacante envia requisições para o servidor DNS. As solicitações da botnet para o DNS são configuradas para aumentar o volume de respostas de cada servidor. Ou seja, com um volume relativamente baixo de solicitações de tráfego, o atacante gera volumes de resposta consideravelmente maiores, que são direcionados para o sistema da vítima;
- Outra forma de ação é direcionar as requisições de tráfego para o servidor DNS com o objetivo de causar sua queda. O resultado é que, sem sistema para traduzir nomes em números IPs, o direcionamento para as páginas web solicitadas ficará indisponível*.
Como evitar um ataque DNS?
Como visto nos tipos de estratégia maliciosa acima, os dispositivos finais (seja de um usuário particular ou de uma empresa) terão dificuldade para identificar que são vítimas deste tipo de ataque.
A primeira proteção contra este tipo de esquema é certificar-se de que os servidores DNS que sua empresa utiliza, adotam tecnologias avançadas de proteção e são atualizados frequentemente. Manter os servidores sob constante avaliação é igualmente importante (os serviços DNS são frequentemente esquecidos) para elevar a visibilidade relativa a segurança de seus sistemas. A limpeza frequente do cache em redes e dispositivos locais também é uma ação importante.
Considerando os dois tipos de adulteração das requisições de domínio, vale considerar como proteção:
Envenenamento
As proteções para os ambientes de rede serão eficientes para identificar direcionamentos de trafego fora do padrão. Neste grupo, considere implantar a proteção de um Firewall controlando o fluxo de dados entre o seu servidor DNS e a rede pública.
Sequestro
Para identificar malware envolvidos neste tipo de ataques, é indicada a adoção de um sistema ATP, capaz de proteger redes privadas contra ameaças avançadas, bloqueando IPs com má reputação. Do mesmo modo, os controles Anti-Malware podem ser usados em redes e servidores de e-mail.
Uma vez que servidores DNS são suscetíveis a ataques DDoS, é importante adotar sistemas de monitoramento e avaliação das requisições de tráfego dentro da empresa. Neste caso, a adoção de um produto como o Next Generation Firewall e o Sistema de Prevenção contra Intrusos (IPS) é relevante.
Finalmente, considerando o seu produto de segurança de redes, algumas boas práticas são:
- Restringir zonas de transferência, garantindo transferência apenas para endereços IPs específicos. Essa ação evita a exposição de informações;
- Utilizar certificados digitais para autenticar a sessão SSH no servidor DNS;
- Revisar a utilização de portas e fechar aquelas que não são necessárias ou apropriadas para requisições de DNS.
Além destas práticas, considere seguir o padrão DNSSEC, que adiciona um sistema de resolução de nomes mais seguro, reduzindo o risco de manipulação de dados e informações.
*Os usuários que acessam uma dada página regularmente podem ser capazes de acessá-la por meio do histórico do cache, mas não terão acesso a atualizações da página. Usuários que não têm histórico não conseguiriam acesso.
Com mais de 3.000 clientes, a Blockbit é a maior fabricante de soluções de cibersegurança do Brasil e pode auxiliar você a proteger o seu negócio das mais diversas ameaças, vulnerabilidades e ataques cibernéticos, sejam internos ou externos, genéricos ou direcionados.
Quer saber mais? Entre em contato com a gente pelo e-mail contato@blockbit.com, pelo telefone (11) 2165-8888 ou pelo WhatsApp (11) 5039-2127 e conheça nossas soluções.