Infoblox da a conocer un kit de herramientas para combatir el malware que ataca servidores DNS y recomienda a las compañías bloquear dominios maliciosos

Ciudad de México, abril de 2023.

Infoblox da a conocer hallazgos del reporte sobre “Decoy Dog” y colabora con la industria para concientizar sobre la situación y resolver problemas.

Se dieron a conocer dominios de comando y control (C2) por un año como parte de un mismo kit de herramientas.

La amenaza detecta los peligros del tráfico de malware en redes y la importancia de una estrategia de seguridad para los servidores DNS.

Infoblox BloxOne® Threat Defense protege a los clientes de estos dominios C2 sospechosos.

Infoblox Inc., la compañía que ofrece una plataforma para redes y seguridad simplificada y habilitada para la nube para optimizar el desempeño y la protección publicó hoy un blog de reportes de amenazas sobre un kit de herramientas de troyanos de acceso remoto (RAT, por sus siglas en inglés) con comando y control (C2) para DNS. El kit de herramientas creó una firma DNS anómala observada en redes de empresas de Estados Unidos, Europa, Suramérica y Asia en los sectores de la tecnología, atención a la salud, energía, servicios financieros y otros. Algunas de estas comunicaciones se dirigen a un controlador en Rusia.

Con el nombre “Decoy Dog”, Threat Intelligence Group de Infoblox fue el primero en descubrir este kit de herramientas y colabora con otros proveedores de soluciones de seguridad, y también con clientes, para desalentar está actividad, identificar el vector de ataque y proteger redes globales. El aspecto decisivo es que las anomalías DNS medidas con el tiempo no solo sacaron los RAT a la luz, sino que finalmente enlazaron comunicaciones C2 aparentemente independientes. Se puede consultar un análisis técnico de los hallazgos de Infoblox aquí.

“Decoy Dog es un firme recordatorio de la importancia de contar con una sólida estrategia para la protección de servidores DNS”, señaló Renée Burton, director sénior de inteligencia de amenazas de Infoblox. “Infoblox está enfocado en detectar amenazas en DNS, evadiendo ataques antes de que ocurran, y permitiendo a los clientes enfocarse en sus actividades de negocios”.

Como proveedor especializado en soluciones de seguridad para DNS, Infoblox da seguimiento a la infraestructura de sus adversarios y puede detectar actividad sospechosa al principio del ciclo de vida de las amenazas, dónde hay “intención de compromiso” y antes de que se inicie el ataque real. Como el curso normal de la actividad de los negocios, cualquier indicador que se considere sospechoso será incluido en los reportes de dominios sospechosos Infoblox, directo para los clientes, para ayudarles a protegerse de manera preventiva de amenazas nuevas y emergentes.

Descubrimiento, anatomía y mitigación de amenazas:

Infoblox descubrió actividad del troyano de acceso remoto (RAT) Pupy activo en múltiples redes empresariales a principios de abril de 2023. Está comunicación C2 pasó desapercibida desde abril de 2022.

El RAT fue detectado a partir de actividad DNS anómala en redes limitadas y en dispositivos de red como firewalls; no en dispositivos de usuarios como laptops o dispositivos móviles.

El RAT crea una huella en DNS que es en extremo difícil de detectar en aislamiento; pero, cuando se analiza en un sistema global de protección DNS basado en la nube como Infoblox BloxOne® Threat Defense, demuestra un sólido comportamiento atípico. Además, permitió a Infoblox vincular los dominios independientes.

Las comunicaciones C2 se realizan a través de DNS y están basadas un RAT de código abierto llamado Pupy. Aunque este es un proyecto de código abierto, se le ha asociado de manera consistente con actores de estados naciones.

Las organizaciones con DNS de protección pueden mitigar su riesgo. Los usuarios de BloxOne Threat Defense están protegidos de estos dominios sospechosos.

En este caso, los dominios C2 rusos ya estaban incluidos en los reportes de dominios sospechosos de BloxOne Threat Defense (Advanced) en el otoño de 2022. Además del reporte de dominios sospechosos, estos dominios han sido agregados ahora al reporte antimalware de Infoblox.

Infoblox continúa recomendando a las organizaciones bloquear los siguientes dominios:

claudfront[.]net

allowlisted[.]net

atlas-upd[.]com

ads-tm-glb[.]click

cbox4[.]ignorelist[.]com

hsdps[.]cc

“Aunque detectamos automáticamente miles de dominios sospechosos cada día en el nivel DNS (y con este nivel de correlación), es poco común descubrir que todas estas actividades se originen del mismo kit de herramientas que aprovecha el servidor DNS para ejercer comando y control”, agregó Burton.

El equipo de Infoblox trabaja las 24 horas del día para entender la actividad DNS. Problemas complejos como este evidencian la necesidad de contar con una estrategia de inteligencia a fondo para toda la industria dónde todos contribuyen a entender el campo de acción de una amenaza.

Para tener acceso al resumen completo de amenazas titulado “Dog Hunt: Finding Decoy Dog Toolkit via Anomalous DNS Traffic”, haga clic aquí.

Acerca de Threat Intelligence Group de Infoblox:
El Threat Intelligence Group de Infoblox está dedicado a crear datos de inteligencia del servicio de nombres de dominio (DNS) “bloquear y olvidar” de alta fidelidad para usarlos en BloxOne Threat Defense. Un elemento central de la estrategia de protección de Infoblox es la identificación de dominios sospechosos. Threat Intelligence Group de Infoblox utiliza un algoritmo patentado de aprendizaje basado en máquina para minimizar el riesgo de que las empresas sufran interrupciones mientras hacen posible una máxima cobertura de amenazas. Infoblox identifica dominios sospechosos a través de varios algoritmos personalizados y la detección de amenazas basada en DNS.

La organización se enfoca en actores DNS y de infraestructura. El equipo puede identificar un comportamiento sospechoso antes de que su impacto sea conocido por las áreas contiguas de la industria (proveedores de puntos extremos y flujo de red) y pueden dar seguimiento a actores persistentes para bloquear su infraestructura DNS antes de que se vuelva un problema para nuestros clientes. Los actores de amenazas a menudo registran dominios mucho antes de que se utilicen en ataques, por lo general con 14 a 20 días de anticipación, pero hemos observado dominios que se quedan “como dormidos” hasta por dos años (como este caso en cuestión).