Está chovendo RATs e cães, com o DNS como alvo: como a Infoblox está respondendo às adaptações do Decoy Dog

Jul 15, 2023

ATUALIZADO 18:37 EDT / 01 DE AGOSTO DE 2023

COLUNA DE CONVIDADOS de Zeus Kerravala

publicou recentemente um segundo relatório de ameaças para fornecer atualizações sobre o kit de ferramentas de acesso remoto, ou RAT, chamado “Decoy Dog”, que a empresa descobriu em abril. Para estabelecer comando e controle, Decoy Dog usa o Sistema de Nomes de Domínio. A empresa também suspeita que seja uma ferramenta secreta usada pelos estados-nação em ataques cibernéticos.

Depois que a Infoblox divulgou que conhecia o RAT – especificamente, uma variação de um RAT conhecido como Pupy – os atores da ameaça se adaptaram para garantir sua operação contínua. A empresa afirma que continuou a pesquisar o Decoy Dog e o Pupy desde a publicação de suas descobertas em 23 de abril. Ela escreve em seu relatório de ameaças que o Decoy Dog representa uma atualização significativa para o Pupy. Ele usa comandos e configurações que não estão nos repositórios públicos.

A Infoblox relata que desenvolveu algoritmos para separar as comunicações do cliente Decoy Dog e inferir várias outras propriedades sobre cada controlador. Os novos algoritmos ressaltam algo em que pensamos há algum tempo: se o seu DNS for inseguro, toda a sua empresa poderá deixar a porta da frente destrancada. A Infoblox possui um sistema de detecção e resposta de DNS ou DNSDR disponível comercialmente.

O DNSDR está bem equipado para lidar com a sequência típica de ataque. Por exemplo, um invasor pode criar uma carga maliciosa no que é chamado de estágio de armamento. Em seguida, ele entrega a carga útil a um alvo, geralmente por meio de um e-mail de spear-phishing.

Então, quando um usuário clica no link, o dispositivo solicita uma conexão com o local da internet, e a busca acontece por meio de um servidor DNS. Dispositivos de segurança de rede, como firewalls de última geração e gateways da Web, começam a processar o tráfego — e a conexão é posteriormente estabelecida. Assim que a conexão for estabelecida, a carga é baixada e executada no dispositivo de destino.

A primeira etapa desse processo acontece por meio do DNS. Com a DNSDR em vigor, uma empresa pode eliminar as ameaças antes que afetem infraestruturas vitais. Esse foi o caso de Decoy Dog e Pupy.

A Infoblox afirma ter aprendido os principais recursos do malware e dos operadores. Acredita que existe o risco de que o uso do Decoy Dog cresça e afete uma ampla gama de organizações em todo o mundo.

“É intuitivo que o DNS seja a primeira linha de defesa para as organizações detectarem e mitigarem ameaças como o Decoy Dog”, disse o presidente-executivo da Infoblox, Scott Harrell. “Conforme demonstrado com Decoy Dog, estudar e compreender profundamente as táticas e técnicas do invasor nos permite bloquear ameaças antes mesmo de serem conhecidas como malware.”

A defesa contra tais ameaças requer uma abordagem diferente. Concentrar-se em alvos típicos de malware deixa as organizações atrás da bola oito. A proteção contra RATs e cães requer uma abordagem centrada no DNS — especialmente considerando a estatística citada pela Infoblox em seu comunicado à imprensa: Mais de 90% dos ataques de malware utilizam o DNS para estabelecer comando e controle em uma rede direcionada, de acordo com Anne Neuberger, Diretora de Segurança Cibernética na Agência de Segurança Nacional. As organizações que deixam seu DNS sem vigilância correm o risco de as ameaças residirem em sua infraestrutura e causarem danos graves.

A Infoblox afirma estar monitorando 21 domínios Decoy Dog, alguns registrados no último mês. A chave aqui é que as organizações monitorem as pesquisas do setor e usem seu DNS como um sistema de alerta precoce. A Infoblox está na vanguarda.

Renée Burton, chefe de inteligência de ameaças da Infoblox, falará no Black Hat em Las Vegas em 9 de agosto. A palestra deste ano de Renée deve ser uma discussão fascinante sobre RATs e cães. E tenho certeza de que até lá haverá ainda mais desenvolvimentos. A Infoblox fornecerá uma experiência prática única para os participantes trabalharem com um conjunto de dados Decoy Dog no show Black Hat.