С одной стороны, распространение атак на службы доменных имён (DNS) по всему миру помогло повысить осведомлённость о глубокой проблеме в недрах интернета. Инфраструктура, стоящая за DNS, страдает от отсутствия встроенной безопасности, подвергая риску пользователей интернета.
Десятилетия работы над спецификациями расширений безопасности системы доменных имён (DNSSEC) были продолжены в согласованных усилиях по поиску лучшего способа защиты DNS, сохраняя его достаточно гибким для масштабирования в корпоративные и даже более крупные сети. Однако в большинстве стран процесс внедрения DNSSEC протекает вяло. Возможно, из-за нетерпения к постепенным успехам DNSSEC некоторые начали обращаться к новым методам для обеспечения безопасности DNS-трафика, таким как DNS over TLS (DoT), DNSCrypt, DNSCurve и, совсем недавно, DNS over HTTPS (DoH).
В настоящее время мы наблюдаем битву за контроль над DNS вкупе с обеспечением безопасности DNS через HTTPS. Поскольку традиционно запросы и ответы DNS отправляются в виде обычного текста, команды Центра управления безопасностью (SOC), контролирующие корпоративные сети, могут отслеживать запрашиваемые домены и блокировать доступ пользователей к вредоносным доменам. Запросы DNS с открытым текстом, безусловно, менее конфиденциальны, но информация с уровня DNS всегда была важным источником данных для контроля за безопасностью в сети.
С введением DoH DNS-запросы шифруются по протоколу HTTPS, что позволяет скрыть их от компетенции простых защитников сети. Оставляя в стороне другие аспекты DoH, такие как конфиденциальность и централизация контроля над интернетом , давайте обсудим, как это влияет на безопасность частных и публичных сетей.
Потеря видимости бросает вызов безопасности бизнеса
Для команд SOC отрицательный эффект DoH заключается в том, что они закрывают глаза на вредоносную коммуникацию, которая может более легко маскироваться под обычный HTTPS-трафик в сети. Как подчеркнул пионер DNS д-р Пол Викси в интервью с ведущим специалистом ESET по обеспечению безопасности Тони Aнскомбом:
Как оператор сети … я должен видеть, что мои пользователи, приложения и устройства делают в DNS, чтобы знать, кто из них является злоумышленником, кто из них вредоносным ПО, кто из них является частью ботнета, кто – зараженной цепочкой поставок… Я должен быть в состоянии видеть это для того, чтобы сохранить мою сеть в безопасности, и поэтому любой, кто приходит с проектом, таким как DNS по HTTPS, и который говорит: «Да, мы хотим сделать невозможным для оператора сети вмешиваться в операции DNS», — они вообще не понимают мою жизнь.
Вредоносное ПО часто связывается с сервером команд и управления (C&C) через HTTP и HTTPS – которое идентифицируется базой знаний MITRE ATT&CK как стандартный метод протокола прикладного уровня . ESET Research, например, наблюдала за PolyglotDuke – недавно обнаруженным загрузчиком, используемым Dukes (APT29) в Операции Ghost – извлечение C&C URL-адресов из социальных сетей, таких как Twitter и Reddit, а затем связываясь с этими серверами C&C, чтобы сбросить бэкдор MiniDuke на компьютеры жертв.
Чтобы скрыть вредоносную природу этого сообщения, Dukes закодировали URL-адреса C&C, используя наборы символов из разных языков, в частности японского, черокезского и китайского, поэтому ESET окрестила этот загрузчик «PolyglotDuke».
Что, если вредоносное ПО может скрыть свою связь за DoH? На самом деле, исследователи Proofpoint обнаружили новое обновление модуля sextortion вредоносной программы PsiXBot, которая использует сервис DoH Google для извлечения IP-адресов C&C, что позволяет злоумышленникам скрывать DNS-запрос за HTTPS. Dukes и другие участники угроз потенциально могут расширить свои наборы инструментов для использования DoH, что, очевидно, в будущем поможет скрыть C&C коммуникации от глаз ИТ-администраторов.
Шифрование DNS, принося некоторое благо, отключает некоторые из ваших защит. Это в первую очередь влияет на сетевые решения безопасности, подчеркивая важность наличия качественного, многоуровневого решения для обеспечения безопасности конечных точек.
Возможность видеть вредоносные программы, взаимодействующие через зашифрованный DNS
SOC-командам рекомендуется быть в курсе последних усилий Mozilla, Google и других компаний по обеспечению DoH. Таким образом, ИТ-администраторы могут обновлять программное обеспечение и конфигурации устройств контроля сетевого трафика, чтобы блокировать доступ к новым службам DoH по мере их появления. Google, например, предлагает DoH через определённые стабильные адреса , которые администраторы могут блокировать на уровне брандмауэра.
Однако блокировка или отключение известных служб DoH – это только первый шаг к обнаружению вредоносного использования зашифрованных запросов DNS в корпоративной сети. Более продвинутые команды SOC должны использовать инструмент обнаружения и реагирования конечных точек (EDR), который позволяет им идентифицировать и фиксировать события DNS-запросов вредоносного вида, среди многих других типов событий, а также исследовать соединения с вредоносными серверами C&C.
С точки зрения мониторинга трафика DoH из браузеров Firefox и Chrome, один из способов для сотрудников SOC поддерживать видимость – это установка пользовательских сертификатов безопасности на конечных точках и маршрутизация трафика браузера через прокси-сервер. Это позволило бы настроить решение для проверки сетевого трафика, которое понимает DoH, может проводить проверку HTTPS для встроенной расшифровки, проверки, регистрации и т.д., и перенаправлять любые события в инструмент EDR для дальнейшего анализа.
Обратите внимание, что в то время, как некоторые браузеры проверяют наличие закрепленных сертификатов, локально установленный сертификат безопасности может переопределить обычные проверки. Однако ни Firefox, ни Chrome браузеры на момент написания этой статьи не проверяют наличие закрепленных сертификатов.
Есть и другие варианты борьбы с DoH. Подобно настройке внутренних DNS-серверов, предприятия могут также настроить внутренние DoH-серверы, которые позволяют просматривать все запросы. Другой вариант предусматривает возможность отключения DoH, как это предлагает Mozilla для своего браузера Firefox.
Технические решения для решения вопросов безопасности протокола DoH разнообразны. В дальнейшем для успеха любой команды SOC крайне важно научиться ценить возросшие возможности, которые этот новый протокол может предоставить злоумышленникам, а также его каскадное воздействие на безопасность сети. Таким образом, подходящая политика безопасности, касающаяся использования DoH, может быть установлена для вашего бизнеса и внедрена вашей командой SOC.
