[lacnog] Utilización de DoH como canal encubierto para controlar Malware

Carlos M. Martinez carlosm3011 en gmail.com
Vie Sep 4 18:55:14 GMT+3 2020


Hola a todos,

Si yo entiendo bien este escenario, en realidad lo que hizo Mozilla de 
cambiar el default de hacia dónde van las consultas DNS (con lo que 
discrepó totalmente) es solamente una capa mas en una ataque ya de por 
si complejo.

El registro dns que se ve en el articulo sigue pudiendo ser consultado 
incluso por “ye olde" plain text DNS

```
$ dig txt dmarc.jqueryupdatejs.com

; <<>> DiG 9.10.6 <<>> txt dmarc.jqueryupdatejs.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19013
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;dmarc.jqueryupdatejs.com.	IN	TXT

;; ANSWER SECTION:
dmarc.jqueryupdatejs.com. 38400	IN	TXT	"v=DKIM1; k=rsa; 
p=/NkBspI4LG64/nlEJ5sKjBiKA2L0Oi0B/TVRRNE5ESXpPRFk0T0E9PQ/mvYI54xdsqEmW/TVRRNE5ESXpPRFk0Tnc9PQ/TWpNNE9ETTN/TWpNNE9ETTNNVGszTkE9PQ/mvYI54xdsqEmW/TWpNNE9ETTNNakUwTXc9PQ/+ENwGoMUg9feAaD9qyw7KUEysv23BHGBHxInOA2FOhTOZrNWg7DQIDAQAB"

;; Query time: 684 msec
;; SERVER: 200.7.84.14#53(200.7.84.14)
;; WHEN: Fri Sep 04 10:07:36 -03 2020
;; MSG SIZE  rcvd: 307

```

Aca hay casi tantas capas como en una cebolla:

- el uso de un nombre de dominio que se ve inocente, como 
“jqueryupdatejs.com” , cualquiera diría que es el update de jQuery

- el uso de DNS como covert channel. Incluso si se usa DNS plano, a 
menos que alguien esté minando datos de consultas DNS esto puede 
demorar meses y meses en ser detectado

- el payload del DMARC record ya es, o al menos puede pasar como, algo 
cifrado normal

El DNS over HTTPS aca es una mas de esas capas, pero no es ni cerca el 
unico ni el mas importante de los elementos aca.

Entiendo que lo que hizo Mozilla no esta bueno, esa es otra discusión 
que me encantaría tuviéramos.

Abrazo y buen finde para todos.

/Carlos

On 4 Sep 2020, at 5:46, Roque Gagliano wrote:

> Nico,
>
> No hubo ni hay "discusión", Mozilla cambió el default y punto.
>
> Roque.
>
> On Thu, Sep 3, 2020 at 5:33 PM Nicolas Antoniello 
> <nantoniello en gmail.com>
> wrote:
>
>> Estimados,
>>
>> Para que lo tengan en cuenta. En este caso, los sistemas de 
>> detección de
>> amenazas que puedan estar operando en las organizaciones no serían 
>> capaces
>> de detectar este tipo de ataques. La forma de detectarlo sería (en
>> principio) únicamente desde el cliente con algún mecanismo de 
>> detección de
>> Malware o similar.
>>
>> Este trata de la utilización de respuestas DNS conteniendo código 
>> para
>> comandar y controlar un malware previamente instalado en el cliente.
>>
>> Lo interesante es que al valerse de DoX se vuelve mucho más difícil 
>> su
>> detección y por lo tanto es aprovechable por los atacantes como 
>> mecanismo
>> para intentar evitar sistemas de detección que puedan utilizar las
>> organizaciones.
>>
>> En el artículo se menciona el hecho de que este tipo de ataques no 
>> es
>> nuevo; así como el hecho de que esto no es un problema propio de 
>> DoX; sino
>> que los atacantes se valen de la privacidad que provee DoX para 
>> encubrir su
>> tráfico.
>>
>>
>> https://www.bleepingcomputer.com/news/security/attackers-abuse-google-dns-over-https-to-download-malware/
>>
>> Personalmente creo que agrega una consideración interesante en la
>> conversación sobre privacidad vs. seguridad a la hora de cada uno 
>> decidir
>> en qué ámbitos aplicaremos cada mecanismo; así como qué medidas 
>> adicionales
>> de seguridad (y privacidad) podemos tomar a nivel operativo para 
>> buscar
>> protegernos mejor de este tipo de amenazas.
>>
>> Saludos,
>> Nico
>>
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>
>
> -- 
>
>
> At least I did something
> Don Draper - Mad Men


> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20200904/d291676e/attachment-0001.html>


Más información sobre la lista de distribución LACNOG