Ataques(contra(el(DNS(

Dave(Piscitello(VP(Security(and(ICT(Coordina:on(27(June(2016(dave.piscitello@icann.org(

| 2

Introducción

•  VP(Security(and(ICT(Coordina:on,(ICANN(•  40(year(network(and(security(prac::oner(•  Roles(at(ICANN:(

•  Technology(Advisor(•  Threat(responder(•  Inves:gator(•  Researcher(

| 3

Part(1(

• ¿Cómo(funciona(el(DNS?(•  Vistazo(y(ejemplos(de(los(escenarios(de(ataque(en(el(DNS(

| 4

¿Qué es el Sistema de Nombres de Dominio?

Una(base(de(datos(distribuida(usada(primordialmente(para(obtener(la(dirección(

numérica(192.168.23.1(o(fe80::226:bbff:fe11:5b32(

(asociada(a(un(nombre(

(

humanamente(recordable((www.ejemplo123.com)(

(!

(

| 5

La(estructura(formal(de(la(base(de(datos(del(DNS(es(un(árbol(inver:do(con(la(raíz(en(la(punta(superior(

(((((((((

( 5(

Cada(nodo(:ene(una(e:queta(

La(raíz(se(designa(usando(un(“punto”(

Nodo(de(3er(nivel(

Nodo(de(2do(nivel( Nodo(de(2do(nivel(

Nodo(de(alto(nivel(

Nodo(de(3er(nivel(Nodo(de(3er(nivel(

Nodo(de(2do(nivel(

Nodo(de(alto(nivel(

Nodo(de(2do(nivel( Nodo(de(2do(nivel(

Nodo(de(alto(nivel(

Raíz(

El(DNS(es(un(espacio(de(nombres((namespace)(público(Es(uno,(de(muchos(usados(en(el(Internet.(

((((((((

(

Estructura de la base de datos del DNS

| 6

Nombres(de(dominio(y(e:quetas(

Cada(nodo(en(el(espacio(de(nombres(del(DNS(:ene(una(e:queta(El(nombre(de(dominio(de(un(nodo(es(una(lista(de(las(e:quetas(desde(el(nodo(hasta(la(raíz(

6(

Nodo(3er(nivel(

Nodo(2do(nivel( 2do(nivel(

nododaltodnivel(

3rddlevel(node( 3rddlevel(node(

2nddlevel(node(

topdlevel(node(

2nddlevel(node( 2nddlevel(node(

topdlevel(node(

nodo(raíz(

((((((

Cuando(todas(las(e:quetas(están(presentes,(se(llama(

FULLY%QUALIFIED%DOMAIN%NAME%(FQDN)%Los(FQDNs(son(únicos(a(nivel(

global(en(el(DNS(público(

Nodo(raíz(

�.”(Dominio(de(Alto(

Nivel(ej.(COM(

Dominio(2do(nivel(ej.((

EJEMPLO(Dominio(3er(nivel(

ej.(WWW(

| 7

Elementos(operacionales(del(DNS(

•  Los(servidores(de(resolución(autorita:vos(alojan(información(de(las(zonas(–  Los(datos(de(DNS(publicados(por(el(registrante(

•  Resolutores(recursivos((“resolutores”)(–  Sistemas(que(encuentran(respuestas(a(consultas(al(DNS(

•  Resolutores(de(memoria(temporal((cache)(–  Resolutores(recursivos(que(encuentran(y(guardan(localmente(respuestas(por(un(período(de(:empo(=(TTL(

•  Clientes(o(resolutores(de(cliente(–  Sokware(en(aplicaciones,(aplicaciones(móviles(o(sistemas(opera:vos(que(consultan(al(DNS(y(procesan(las(respuestas(

7(

| 8

El(DNS(es(como(el(directorio(del(Internet(

•  Los(resolutores(de(cliente(envían(consultas:(–  Sokware(en(aplicaciones,(aplicaciones(móviles(o(sistemas(opera:vos(que(consultan(al(DNS(y(procesan(las(respuestas(

– Los(resolutores(recursivos(encuentran(las(respuestas(con(información(del(DNS(

8(

¿Cuál(es(la(dirección(IPv6(de(www.icann.org?(

dns1.icann.org

Yo(encuentro(esa(respuesta(

My PC

| 9

El(DNS(actúa(como(un(directorio(telefónico(

¿Cómo(encuentra(un(resolutor(la(dirección(de(ICANN.ORG?(•  La(encuentra(enviando(preguntas(de(forma(reitera:va(

9(

m.root-servers.net

a0.org.afilias-nst.info

ns1.icann.org

dns.icann.org

www.icann.org?

1

2

3

4

5 6

7 8

| 10

¿Qué es caching?

•  Los(resolutores(pueden(guardar(en(memoria(temporal(los(registros(de(DNS(que(reciben(de(otros(servidores(de(DNS(–  Acelera(la(resolución(–  Ahora(ancho(de(banda(–  Respuestas(nodautorita:vas(

•  Los(registros(guardados(en(memoria(temporal(son(válidos(para(siempre?(– No.(El(campo(TTL(()me!to!live)(en(el(registro(de(DNS(indica(su(:empo(de(validez.(

10(

¿Cuál(es(la(dirección(IPv6(de(

www.icann.org?(

Mi resolutor local

Servidor autoritativo de ICANN

www.icann.org(AAAA(2001:500:88:200::7(

Guardo(temporalmente(la(

respuesta(

My PC

| 11

Resumiendo…

1 El DNS es una base de datos pública, distribuida

2 El DNS nos permite usar nombres, en lugar de números, para navegar en Internet

3 Los elementos operacionales del DNS abarcan desde infraestructura crítica hasta dispositivos de usuario

| 12

Agenda

•  ¿Cómo(funciona(el(DNS?(

• Atacando(al(DNS(

| 13

Motivaciones para atacar al DNS

Los!diferentes!actores!)enen!mo)vaciones!o!

incen)vos!específicos!para!

atacar!infraestructuras!

crí)cas,!incluyendo!el!DNS!

¿En(dónde(quedan(el(cíber(crimen(y(el(cíber(espionaje?(

| 14

Superficie de ataque del DNS Obje3vo% Servidor%

Autorita3vo%Servidor%Recursivo%

Resolutor%de%

Cliente%Ancho(de(banda(de(acceso( ✔( ✔( ✔(Elementos(de(acceso(a(red( ✔( ✔( ✔(NS(o(disposi:vo:(

Hardware( ✔( ✔( ✔(Sokware(Sistema(Op.( ✔( ✔( ✔(Sokware(nameserver( ✔( ✔(Cache( ✔( ✔(Sokware(de(aplicación( ✔(Administración( ✔( ✔( ✔(Configuración( ✔( ✔( ✔(

| 15

Ataques contra servidores de resolución

•  “Exploit(to(fail”(Ataque(de(DOS(•  “Exploit(to(own”(Ataque(de(DOS(•  Ataque(de(reflexión(•  Ataque(de(amplificación(•  Ataque(de(DDoS(•  Ataque(de(envenenamiento(de(memoria(temporal(

•  Ataque(de(agotamiento(Veamos!algunos!ejemplos…!

| 16

“Exploit To Fail” Ataque de DOS

•  Explotar(una(vulnerabilidad(en(algún(elemento(de(la(infraestructura(de(un(servidor(de(resolución(para(interrumpir(el(servicio(de(resolución(

•  Ejemplo:(Inyección(de(mensaje(malicioso(de(DNS(hrp://www.cvedetails.com/cve/CVEd2002d0400/(

(

Mensaje(de(DNS(malformado((ej.(CVEd2002d0400)(

Atacante( Name(Server(corriendo(BIND(

El(nameserver(falla(al(procesar(

el(mensaje(

| 17

“Exploit To Own” Ataque de DOS

•  Explotar(una(vulnerabilidad(en(algún(elemento(de(la(infraestructura(de(un(servidor(de(resolución(para(ganar(privilegios(de(admon(

•  Ejemplo:(Ejecución(arbitraria/remota(de(código(hrp://www.kb.cert.org/vuls/id/844360(

Consulta(de(DNS(manipulada,(ej.(VU#844360(

Atacante(Nameserver(corriendo(BIND(

El(mensaje(provoca(un(BUFFER!

OVERFLOW,(el(atacante(puede(ejecutar(código(

arbitrario(

| 18

Ataque(de(reflexión(

•  El(atacante(falsifica(la(IP(de(la(víc:ma(

•  Envía(consultas(al(resolutor(abierto(

•  El(resolutor(responde(a(la(víc:ma(

Atacante( Resolutor(Abierto(

Consulta(de(DNS(

Falsifique(dirección(IP(de(víc:ma:(10.0.0.1(

IP(de(víc:ma:(10.0.0.1(

| 19

Ataque de reflexión y amplificación •  Atacante(falsifica(

dirección(de(víc:ma(

•  Atacante(envía(consultas(a(recursores(para(que(envíen(respuestas(enormes(

•  Resolutores(responden:(paquetes(enormes(

•  Las(respuestas(agotan(recursos(de(la(víc:ma(

Atacante( Resolutor(abierto(

Consulta(de(DNS(

Falsifica(dirección(de(la(víc:ma:(10.0.0.1(

Víc:ma:(10.0.0.1(

| 20

Ataque distribuido de reflexión y amplificación

•  Dispara(ataque(desde(miles(de(disposi:vos(

•  Reflexión(a(través(de(resolutores(abiertos(

•  Envían(miles(de(respuestas(PESADAS(a(la(víc:ma(

Atacantes( Resolutor(abierto(

Todas(las(fuentes(falsifican(dirección(de(víc:ma:(10.0.0.1(

Víc:ma:(10.0.0.1(

Consulta(de(DNS(

Consulta(de(DNS(

Consulta(de(DNS(

| 21

Ataque de DOS – Agotamiento de Recursos

•  Atacante(envía(mensajes(de(DNS(masivamente((vía(TCP(desde(IP(falsificada(

•  Nameserver(reserva(recursos(para(todas(esas(conexiones(hasta(que(agota(sus(recursos(

•  Resolución(de(nombres(se(degrada(o(interrumpe(

Atacante(Resolutor(abierto(

TCP(SYN(

TCP(SYN(

Falsifica(dirección(de(víc:ma:(10.0.0.1(

Víc:ma:(10.0.0.1(

TCP(SYN(

| 22

Envenenamiento(básico(de(cache(

El(atacante(– Envía(campaña(de(spam(con(links(a(hrp://loseweighwastnow.com(

– El(nameserver(del(atacante(responde(con(información(de(DNS(maliciosa(sobre(ebay.com(

– Los(resolutores(que(son(vulnerables(añaden(la(información(maliciosa(a(su(memoria(cache(

– La(información(maliciosa(dirigirá(a(las(víc:mas(a(un(si:o(de(phishing(the(eBay(mientras(esa(entrada(de(data(del(DNS(sea(váida(

22(

¿Cuál(es(la(IP(de(loseweighwastnow.com?(

Mi PC

Mi resolutor local

nameserver criminal

loseweighwastnow.com(IPv4(está(en(192.168.1.1((

ADEMÁS%www.ebay.com*está*en*192.168.1.2(

Guardo(esta(respuesta(en(mi(

cache:(www.ebay.com((

| 23

Agotamiento de memoria NXDOMAIN

•  El(atacante(inunda(el(resolutor(con(consultas(de(DNS(respecto(de(dominios(no(existentes(

•  El(resolutor(intenta(resolver(las(consultas(y(añade(cada(respuesta(NXDOMAIN(a(su(memoria(cache(

•  La(memoria(cache(del(resolutor(se(llena(de(respuestas(inú:les(•  El(procesamiento(de(consultas(legí:mas(se(degrada(o(interumpe(

Atacante( Resolutor(Cache(llena(de(respuestas(NXDOMAIN(

Consulta(DNS(de(dominio(inexistente(Consulta(DNS(de(dominio(inexistente(Consulta(DNS(de(dominio(inexistente(

Ataque de phantom domain tiene efectos similares

| 24

Ataques contra resolutores de cliente

•  Ataque(de(interceptación(de(consulta(•  Modificación(de(respuesta(de(DNS(

– Llamada(también(Name(Error(resolu:on(

•  Ataque(de(envenenamiento(de(configuración(•  Ataque(de(overflow(de(DNS(hostname((!

Veamos!algunos!ejemplos…(

| 25

Interceptación de consultas (DNS Hijacking)

8/16/16( 25(

•  Un(hombredendeldmedio((MITM)(o(a(través(de(un(ataque(de(spoofing,(envía(consultas(de(DNS(a(nameserver(que(responde(con(información(manipulada(–  Puede(ocurrir(usando(un(proxy(de(DNS,(un(router(o(servidor(comprome:do,(ARP(poisoning,(o(‘gemeleando’(accesos(Wifi(

Banco(legí:mo(

Ruta%legí3ma%para%transacciones%con%el%banco%

Ruta%manipulada% Ruta%manipula

da%Web(del(banco(falso(

Gemelo(malicioso(

Resolutor(malicioso(

Gemelo(malicioso(o(router(comprome:do(

redirige(consultas(de(DNS(a(nameserver(del(

atacante(

Nameserver(malicioso(envía(

dirección(falsa(del(banco(

| 26

Modificación de respuestas

•  El(resolutor(recursivo(es(configurado(para(responder(con(dirección(de(si:o(de(paydperdclick(o(si:o(de(búsqueda(cuando(recibe(respuestas(NX(DOMAIN(

•  Implementado(por(algunos(ISPs(y(otros(terceros(para(generar(ingresos(

Nameserver(de(example.com(

¿Cuál(es(la(dirección(de(

ww.example.com?(

ww.example.com(no(existe(

(NXDOMAIN)(

La(dirección(de(ww.example.com(es(192.168.12.113(

Respuesta%manipulada%

192.168.12.113(

| 27

Modificación(de(la(configuración:(DNSChanger(

El(atacante(distribuye(el(malware(que(modifica(la(la(configuración(de(DNS(vía(spam,(drivedby(download…(El(malware(DNSChanger:(•  Altera(la(configuración(de(DNS(de(la(máquina(infectada(

•  Redirigie(todas(las(consultas(de(DNS(a(un(nameserver(operado(por(los(criminales(

•  El(atacante(actualiza(el(malware(para(redirigir(el(tráfico(web(a(los(des:nos(de(su(escogencia( Ruta%legí3ma%hacia%el%resolutor%local%

El(resolutor(del(atacante(envía(a(la(víc:ma(a(si:o(web(malicioso(

Su(resolutor(recursivo(está(en(192.168.3.13(

Malware(DNSChanger( 192.168.3.13(

| 28

Ataque de overflow de DNS Hostname

•  El(atacante(crea(un(mensaje(de(respuesta(con(dominio(de(más(de(255(bytes(

•  El(cliente(vulnerable(consulta(al(nameserver,(no(verifica(la(extensión(del(hostname(incluido(en(la(respuesta(

•  El(buffer(overflow(permite(al(atacante(conseguir(privilegios(de(root(y(ejecutar(código(arbitrario(

Nameserver(del(atacante(

El(servidor(del(atacante(responde(con(hostname(de(más(de(255(bytes(

Consulta(de(DNS(

El(cliente(es(inducido,(vía(spam,(URL,(etc.,(a(

consultar(el(nameserver(del(

atacante(

| 29

Robo de dominios (hijacking)

•  El(atacante(compromete(la(cuenta(del(registrante(–  Lo(logra(con(fuerza(bruta,(ingeniería(social(u(otro(login(arack(–  Lanza(un(ataque(de(phishing(suplantando(al(registrador!–  El(compromiso(le(da(al(atacante(control(sobre(los(dominios(

registrados(por(la(cuenta(

•  El(atacante(modifica(o(añade(registros(de(nameserves(para(el(dominio(incluyendo(IP(de(su(servidor(

•  El(atacante(publica(datos(hos:les(en(la(zona(del(dominio(

•  Los(registros(de(recursos(en(la(zona(del(dominio(permite(phishing,(fraude,(spam,(etc.(Nota:(el(atacante(puede(comprometer(el(nameserver(directamente.(

| 30

Resumen

1 El(DNS(es(un(sistema(abierto(y(está(abierto(al(abuso!

2 El(DNS(es(una(base(de(datos(crí:ca(para(Internet,(por(lo(que(es(blanco(de(ataques(

3 Cualquier(elemento(del(DNS(puede(ser(abusado(para(facilitar(otros(ataques(

| 31

Lecturas recomendadas Title% URL%

Top(10(DNS(aracks( hrp://www.networkworld.com/ar:cle/2886283/security0/topd10ddnsdaracksdlikelydtodinfiltratedyourdnetwork.html(

Manage(your(domain(porwolio( hrp://securityskep:c.typepad.com/thedsecuritydskep:c/2014/01/avoiddrisksdmanagedyourddomaindporwolio.html(

Securing(open(DNS(resolvers( hrp://www.gtri.com/securingdopenddnsdresolversdagainstddenialdofdservicedaracks/(

DNS(Tunneling( hrps://www.cloudmark.com/releases/docs/whitepapers/dnsdtunnelingdv01.pdf(

DNS(cache(bus:ng( hrp://blog.cloudmark.com/2014/10/07/addnsdcachedbus:ngdtechniquedfordddosdstyledaracksdagainstdauthorita:vednamedservers/(

DNS(Cache(Poisoning( hrp://www.securityskep:c.com/dnsdcachedpoisoning.html(

Anatomy(of(a(DDOS(arack( hrp://www.securityskep:c.com/anatomydofddnsdddosdarack.html(

DNS(reflec:on(defense( hrps://blogs.akamai.com/2013/06/dnsdreflec:onddefense.html(

Protect(the(world(from(your(network( hrp://securityskep:c.typepad.com/thedsecuritydskep:c/2013/04/protec:ngdthedworlddfromdyourdnetwork.html(

DNS(Traffic(Monitoring(Series( hrp://www.securityskep:c.com/2014/09/dnsdtrafficdmonitoringdseriesdatddarkdreading.html(

Protect(your(DNS(servers(against(DDoS(aracks(

hrp://www.gtcomm.net/blog/protec:ngdyourddnsdserverdagainstdddosdaracks/(

Fast(Flux(Botnet(Detec:on(in(Real:me( hrp://www.iis.sinica.edu.tw/~swc/pub/fast_flux_bot_detec:on.html(

DNS(resource(exhaus:on( hrps://www.cloudmark.com/releases/docs/whitepapers/dnsdresourcedexhaus:ondv01.pdf(

| 32

carlos.alvarez@icann.org @isitreallysafe

Thank You and Questions

¿Preguntas?(

Contact(ICANN:(engagement@icann.org(@icann(icann.org(safe.mn/icannsecurityteam(