· Infoblox publica los hallazgos del informe sobre “Decoy Dog”y colabora en toda la industria para ayudar a crear conciencia y resolver problemas
· El dominio de comando y control (C2) sobre DNS no se descubrió durante un año como parte de un solo conjunto de herramientas
· La amenaza destaca los peligros del tráfico de malware en las redes y la importancia de una estrategia de seguridad de DNS
· Infoblox BloxOne® Threat Defense protege a los clientes de estos dominios C2 sospechosos
Infoblox Inc., la empresa que ofrece una plataforma de red y seguridad simplificada y habilitada para la nube para mejorar el rendimiento y la protección, publicó hoy un blog de informes de amenazas en un kit de herramientas de troyanos de acceso remoto (RAT). con comando y control DNS (C2). El conjunto de herramientas creó una firma de DNS anómala observada en redes empresariales en los EE. UU., Europa, América del Sur y Asia en los sectores de tecnología, salud, energía, finanzas y otros. Algunas de estas comunicaciones van a un controlador en Rusia.
Denominado ”Decoy Dog”, Infoblox’s Threat Intelligence Group , fue el primero en descubrir este conjunto de herramientas y está colaborando con otros proveedores de seguridad, así como con clientes, para interrumpir esta actividad, identificar el vector de ataque y proteger las redes globales. La idea crítica es que las anomalías de DNS medidas a lo largo del tiempo no solo surgieron en la RAT, sino que finalmente vincularon comunicaciones C2 aparentemente independientes. Un análisis técnico de los hallazgos de Infoblox está aquí.
“Decoy Dog es un claro recordatorio de la importancia de tener una estrategia de DNS sólida y protectora”, dijo Renée Burton, directora sénior de inteligencia sobre amenazas de Infoblox. “Infoblox se enfoca en detectar amenazas en DNS, interrumpir los ataques antes de que comiencen y permitir que los clientes se concentren en su propio negocio”.
Como proveedor de seguridad basado en DNS especializado, Infoblox rastrea la infraestructura del adversario y puede detectar actividades sospechosas al principio del ciclo de vida de la amenaza, donde existe la "intención de comprometer" y antes de que comience el ataque real. Como parte normal de los negocios, cualquier indicador que se considere sospechoso se incluye en las fuentes de dominio sospechoso de Infoblox, directamente a los clientes, para ayudarlos a protegerse de manera preventiva contra amenazas nuevas y emergentes.
Descubrimiento, anatomía y mitigación de amenazas:
· Infoblox descubrió actividad del troyano de acceso remoto (RAT) Pupy activo en múltiples redes empresariales a principios de abril de 2023.
· La RAT se detectó a partir de actividad DNS anómala en redes limitadas y en dispositivos de red como firewalls; no dispositivos de usuario como computadoras portátiles o dispositivos móviles.
· La RAT crea una huella en el DNS que es extremadamente difícil de detectar de forma aislada pero, cuando se analiza en un sistema DNS de protección global basado en la nube como BloxOne® Threat Defense de Infoblox, demuestra un fuerte comportamiento atípico. Además, permitió a Infoblox unir los dominios dispares.
· Las comunicaciones C2 se realizan a través de DNS y se basan en una RAT de código abierto llamada Pupy. Si bien este es un proyecto de código abierto, se ha asociado consistentemente con actores del estado-nación.
· Las organizaciones con DNS protector pueden mitigar su riesgo. Los clientes de BloxOne Threat Defense están protegidos contra estos dominios sospechosos.
· En este caso, los dominios C2 rusos ya estaban incluidos en las fuentes de dominios sospechosos en BloxOne Threat Defense (Advanced) en el otoño de 2022. Además de la fuente de dominios sospechosos, estos dominios ahora se agregaron a la fuente antimalware de Infoblox.
· Infoblox continúa instando a las organizaciones a bloquear los siguientes dominios:
claudfront[.]net
permitido[.]net
atlas-upd[.]com
anuncios-tm-glb[.]clic
cbox4[.]ignorelist[.]com
hsdps[.]cc
“Si bien detectamos automáticamente miles de dominios sospechosos todos los días a nivel de DNS, y con este nivel de correlación, es raro descubrir que todas estas actividades se originan en el mismo conjunto de herramientas que aprovecha el DNS para el comando y control”, agregó Burton.
El equipo de Infoblox está trabajando las 24 horas para comprender la actividad del DNS. Los problemas complejos como este resaltan la necesidad de una estrategia de inteligencia en profundidad en toda la industria en la que todos contribuyan a comprender el alcance completo de una amenaza.
Acerca del Grupo de inteligencia sobre amenazas de Infoblox:
El Threat Intelligence Group de Infoblox se dedica a crear datos de inteligencia del servicio de nombres de dominio (DNS) de "bloquear y olvidar" de alta fidelidad para usar en BloxOne Threat Defense. El núcleo de la estrategia de protección de Infoblox es la identificación de dominios sospechosos. Threat Intelligence Group de Infoblox utiliza un algoritmo de aprendizaje automático patentado para minimizar el riesgo de interrupciones empresariales al tiempo que permite la máxima cobertura de amenazas. Infoblox identifica dominios sospechosos a través de varios algoritmos personalizados y búsqueda de amenazas basada en DNS.
No hay comentarios:
Publicar un comentario