Está lloviendo RAT y perros, con DNS como objetivo: cómo está respondiendo Infoblox a las adaptaciones de Decoy Dog

Jul 15, 2023

ACTUALIZADO 18:37 EDT / 01 DE AGOSTO DE 2023

COLUMNA INVITADA de Zeus Kerravala

Infoblox Inc. publicó recientemente un segundo informe de amenazas para proporcionar actualizaciones sobre el kit de herramientas de acceso remoto, o RAT, llamado "Decoy Dog", que la compañía descubrió en abril. Para establecer comando y control, Decoy Dog utiliza el Sistema de nombres de dominio. La compañía también sospecha que es una herramienta secreta que los estados-nación utilizan en los ciberataques.

Una vez que Infoblox reveló que conocía la RAT (específicamente, una variación de una RAT conocida como Pupy), los actores de amenazas se adaptaron para garantizar su funcionamiento continuo. La compañía dice que ha seguido investigando a Decoy Dog y Pupy desde la publicación de sus hallazgos el 23 de abril. Escribe en su informe de amenazas que Decoy Dog representa una mejora significativa para Pupy. Utiliza comandos y configuraciones que no se encuentran en los repositorios públicos.

Infoblox informa que desarrolló algoritmos para separar las comunicaciones del cliente Decoy Dog e inferir varias otras propiedades sobre cada controlador. Los nuevos algoritmos subrayan algo en lo que hemos pensado durante algún tiempo: si su DNS es inseguro, toda su empresa también podría dejar la puerta de entrada abierta. Infoblox tiene un sistema de detección y respuesta de DNS o DNSDR disponible comercialmente.

DNSDR está bien equipado para hacer frente a la secuencia de ataque típica. Por ejemplo, un atacante podría crear una carga útil maliciosa en lo que se llama la etapa de armamento. Luego entrega la carga útil a un objetivo, a menudo a través de un correo electrónico de phishing.

Luego, cuando un usuario hace clic en el enlace, el dispositivo solicita una conexión a la ubicación de Internet y la búsqueda se realiza a través de un servidor DNS. Los dispositivos de seguridad de red, como firewalls de próxima generación y puertas de enlace web, comienzan a procesar el tráfico y posteriormente se establece la conexión. Una vez establecida la conexión, la carga útil se descarga y ejecuta en el dispositivo de destino.

El primer paso de este proceso ocurre a través de DNS. Con DNSDR implementado, una empresa puede eliminar las amenazas antes de que afecten a la infraestructura vital. Tal fue el caso de Decoy Dog y Pupy.

Infoblox dice que ha conocido las características clave del malware y los operadores. Cree que existe el riesgo de que el uso de Decoy Dog crezca y afecte a una amplia gama de organizaciones en todo el mundo.

"Es intuitivo que DNS debería ser la primera línea de defensa para que las organizaciones detecten y mitiguen amenazas como Decoy Dog", dijo el director ejecutivo de Infoblox, Scott Harrell. "Como se demostró con Decoy Dog, estudiar y comprender profundamente las tácticas y técnicas del atacante nos permite bloquear las amenazas incluso antes de que sean conocidas como malware".

Defenderse contra tales amenazas requiere un enfoque diferente. Centrarse en los objetivos típicos del malware deja a las organizaciones detrás de la bola ocho. Protegerse contra las RAT y los perros requiere un enfoque centrado en el DNS, especialmente considerando la estadística que citó Infoblox en su comunicado de prensa: más del 90% de los ataques de malware aprovechan el DNS para establecer comando y control en una red específica, según Anne Neuberger, directora. de Ciberseguridad de la Agencia de Seguridad Nacional. Las organizaciones que dejan su DNS sin vigilancia corren el riesgo de que las amenazas residan en su infraestructura y causen daños graves.

Infoblox dice que está monitoreando 21 dominios de Decoy Dog, algunos registrados en el último mes. La clave aquí es que las organizaciones monitoreen la investigación de la industria y utilicen su DNS como sistema de alerta temprana. Infoblox está a la vanguardia.

La Dra. Renée Burton, jefa de inteligencia de amenazas en Infoblox, hablará en Black Hat en Las Vegas el 9 de agosto. La charla de este año de Renée debería ser una discusión fascinante sobre las RAT y los perros. Y estoy bastante seguro de que, de ahora en adelante, habrá aún más novedades. Infoblox brindará una experiencia práctica única para que los asistentes trabajen con un conjunto de datos de Decoy Dog en la feria Black Hat.

Zeus Kerravala es analista principal de ZK Research, una división de Kerravala Consulting. Escribió este artículo para SiliconANGLE.

GRACIAS

Está lloviendo RAT y perros, con DNS como objetivo: cómo está respondiendo Infoblox a las adaptaciones de Decoy Dog

Cloudera nombra director ejecutivo al veterano de la industria del software Charles Sansbury

El constructor de centros de datos Stack Infrastructure recauda otros 250 millones de dólares en financiación de deuda

Las acciones de Uber caen por resultados dispares en el segundo trimestre

Cinco grandes empresas de tecnología forman una alianza en torno a OpenUSD para el estándar de gráficos metaverso 3D

Vast Data anuncia una capa de infraestructura de datos global para cargas de trabajo de IA

Está lloviendo RAT y perros, con DNS como objetivo: cómo está respondiendo Infoblox a las adaptaciones de Decoy Dog

SEGURIDAD - POR ZEUS KERRAVALA . HACE 1 MIN

Cloudera nombra director ejecutivo al veterano de la industria del software Charles Sansbury

BIG DATA - POR MARIA DEUTSCHER . 1 HORA ANTES

El constructor de centros de datos Stack Infrastructure recauda otros 250 millones de dólares en financiación de deuda

INFRA - POR MARIA DEUTSCHER . HACE 3 HORAS

Las acciones de Uber caen por resultados dispares en el segundo trimestre

APLICACIONES - POR MARIA DEUTSCHER. HACE 5 HORAS

Cinco grandes empresas de tecnología forman una alianza en torno a OpenUSD para el estándar de gráficos metaverso 3D

TECNOLOGÍA EMERGENTE - POR KYT DOTSON. HACE 6 HORAS

Vast Data anuncia una capa de infraestructura de datos global para cargas de trabajo de IA

AI - POR MIKE WHEATLEY. HACE 7 HORAS