[lacnog] Utilización de DoH como canal encubierto para controlar Malware

[Nicolas Antoniello]

Estimados,

Para que lo tengan en cuenta. En este caso, los sistemas de detección de
amenazas que puedan estar operando en las organizaciones no serían capaces
de detectar este tipo de ataques. La forma de detectarlo sería (en
principio) únicamente desde el cliente con algún mecanismo de detección de
Malware o similar.

Este trata de la utilización de respuestas DNS conteniendo código para
comandar y controlar un malware previamente instalado en el cliente.

Lo interesante es que al valerse de DoX se vuelve mucho más difícil su
detección y por lo tanto es aprovechable por los atacantes como mecanismo
para intentar evitar sistemas de detección que puedan utilizar las
organizaciones.

En el artículo se menciona el hecho de que este tipo de ataques no es
nuevo; así como el hecho de que esto no es un problema propio de DoX; sino
que los atacantes se valen de la privacidad que provee DoX para encubrir su
tráfico.

https://www.bleepingcomputer.com/news/security/attackers-abuse-google-dns-over-https-to-download-malware/

Personalmente creo que agrega una consideración interesante en la
conversación sobre privacidad vs. seguridad a la hora de cada uno decidir
en qué ámbitos aplicaremos cada mecanismo; así como qué medidas adicionales
de seguridad (y privacidad) podemos tomar a nivel operativo para buscar
protegernos mejor de este tipo de amenazas.

Saludos,
Nico
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20200903/2ba52b15/attachment.html>