Introduzione al DNS tunneling e come gli atttaccanti ne possono aproffittare

traduzione del contributo di Rahul Pawar, Security Researcher di Quick Heal

Che cosa è il DNS?

Il DNS, Domain Name System, è un servizo che converte gli hostname in indirizzi IP. E' un protocollo a livello applicativo che consente ad utenti e server di scambiare messaggi. Ogni host è identificato dal proprio indirizzo IP, ma è molto complesso per gli umani memorizzare una serie di numeri. Inoltre gli indirizzi IP non sono statici. Di conseguenza, il DNS converte il nome di dominio di un sito nel suo indirizzo IP numerico, così da rendere possibile per umano contattare un server usando il nome dominio e non l'indirizzo IP. Non a caso il sistema DNS viene definito anche "l'elenco telefonico di Internet", associando "un nome" ad un numero.  

Che cosa è il DNS Tunneling?

Il protocollo DNS ha un difetto: è stato sviluppato senza tenere di conto il paradigma della security by design. La sua centralità in Internet lo rende quindi uno dei target preferiti degli attaccanti. Il DNS tunneling, se utilizzato a fini dannosi, usa il protocollo DNS per distribuire malware ed esfiltrare dati. Questa tipologia di attacco esiste da oltre 20 anni, ma è tutt'ora un pericolo.

Un attaccante imposta un server dove è in esecuzione un malware e vi punta un dominio. Usando poi un server precedentemente infettato, l'attaccante ricerca il dominio sotto il proprio controllo. Il resolver DNS crea un tunnel tra l'attaccante e il suo target quando instrada la query. E' in queste query che gli attaccanti nascondono i dati necessari a perpetrare l'attacco. L'utente non ha cognizione di star "dialogando" con un server infetto.

Una tipologia di attacco siffatta ha un grande vantaggio per gli attaccanti: le query DNS sono quasi sempre autorizzate a transitare attraverso i firewall e le varie misure di sicurezza. Ne consegue che le query DNS sono corsie preferenziali che gli attaccanti possono sfruttare per eseguire attività dannose aggirando le difese.

Come funziona un attacco DNS tunneling?

L'immagine sotto rappresenta, passo passo, il funzionamento di un attacco DNS tunneling.

Database e Databreach: cresce il numero di database esposti in Internet. Un rischio facilmente prevenibile, con pochi accorgimenti

Il gruppo di ricercatori di sicurezza Group-IB ha pubblicato un importante report sui database pubblicamente disponibili in Internet, registrando un importante crescita, continuata per tutti i trimestri del 2021.

Allarme database esposti!

I ricercatori di Group IB hanno pubblicato un report sul tema dei database pubblicamente esposti in Internet. In totale, nel 2021 il Group-IB ha individuato oltre 308.000 database esposti nel 2021: la crescita di questo numero è stata costante per tutto il corso del 2021, ma ha registrato il suo picco i primi mesi di quest'anno. Segnale che rende verosimile la prospettiva per cui nel 2022 il problema non farà altro che acuirsi.

Nel primo trimestre del 2022, infatti, il numero dei database esposti è aumentato di 91.200, una crescita del 12%. In totale, considerando anche questi primi mesi del 2022, il report di Group-IB fissa a 399.200 i database a rischio. 

 

Fonte: Group-IB

La quasi totalità dei database risulta disponibile in Internet a causa di errate configurazioni: gioco facile per gli attaccanti, che dispongono di strumenti liberamente accessibili come motori di ricerca che indicizzaziono i sistemi raggiungibili tramite web aperto. Una semplice ricerca quindi permette loro di accedere ai database senza ulteriori sforzi, consentendo il furto dei dati. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3° settimana Aprile

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Aprile

La scorsa settimana il CERT-AGID ha individuato e analizzato 35 campagne dannose, quasi 20 in meno rispetto alla settimana precedente. Il dato che colpisce è che la quasi totalità di queste, ben 34 su 35, sono state campagne mirate contro utenti italiani mentre soltanto una è stata generica ma veicolata anche nel cyber spazio italiano. 

Le famiglie malware in distribuzione sono state 8 e, caso più unico che raro, la medaglia d'oro spetta a Qakbot, che è stato il malware più diffuso. Ecco la lista:

• Qakbot è stato in diffusione con quattro campagne a tema Resend e Pagamenti. Le email contengono un link che conduce al download di un archivio ZIP. Al suo interno è presente un documento in formato XLSB;

Ransomware Lockbit 2.0 colpisce ancora in Italia: il manuale di difesa

Non servono presentazioni per Lockbit 2.0. E' utile invece dire che, in poco meno di una settimana,   ASP Messina, Ingew, Jannone sono divenute le tre vittime più recenti. Nell'ultimo mese però Lockbit 2.0 ha colpito altre aziende italiane: nel conto sono da aggiungere anche Farmacia Statuto, Basso srl, Progetto edile srl ed altri. 

 

Fonte: leak site Lockbit 2.0

Il sito di leak di LockBit 2.0 elenca poi infiniti altri attacchi in giro nel mondo a riconferma della vivace attività di questo ransomware. Nel sito, per ogni vittima, è visibile l'indirizzo del sito web di riferimento, una breve descrizione e il logo, quindi il conto alla rovescia (ovvero le ore che mancano alla pubblicazione di una parte dei file rubati). In verde sono evidenziate le vittime i cui dati sono già stati pubblicati, in rosso quelle con countdown ancora in corso.

Fonte: leak site Lockbit 2.0

Un caso particolare è quello di Atento, un provider di servizi CMR brasiliano che ha subito, nell'ottobre dello scorso anno, un attacco di Lockbit 2.0. I danni ammontano, stando a cifre pubblicate dall'azienda stessa, a una perdita di profitti per 34.8 milioni di dollari e ulteriori 7.3 milioni di dollari di costi tecnici per mitigare i danni dell'attacco.

D'altronde che Lockbit sia una minaccia reale è confermato anche dall'attenzione che le agenzie di sicurezza dei governi di mezzo mondo gli stanno riservando. Uno dei più recenti avvisi di sicurezza su questa minaccia viene dall'FBI, che ha pubblicato non solo una grande quantità di dettagli tecnici sul ransomware (indicatori di compromissione compresi), ma anche molte indicazioni su come prevenire attacchi. Visto il momento, è forse utile scorrere un pò i punti principali: per il report completo rimandiamo a questo link.

Lockbit 2.0: uno sguardo generale

La botnet Emotet aumenta la propria attività e riduce drasticamente il tasso di rilevamento

UPDATE del 29/04/2022 -> Il CERT Giapponese ha aggiornato la propria utility EmoCheck alla versione 2.2. Questa individua e blocca la nuova versione a 64-bit di Emotet. L'utility è disponibile qui al download.


E' una vecchia conoscenza e una presenza quasi fissa nei report settimanali del CERT: Emotet non è affatto nuovo in Italia e anzi, si piazza tra i malware più distribuiti nel nostro paese. Ha avuto vicende alterne: qualche tempo fa abbiamo raccontato di come una task force internazionale ne ha preso il controllo e abbattuta l'infrastruttura. Ma Emotet è tornato, malware e botnet, più forte di prima.

Emotet in breve:

Emotet è un trojan modulare con capacità di auto propagazione. Può ottenere la persistenza sulla macchina infetta. E' usato principalmente per il furto dati, ma anche per il riconoscimento delle reti, per eseguire movimenti laterali o per fungere da dropper di ulteriori payload dannosi. In particolare molto spesso è usato come ariete per la distribuzione di Cobal Strike o di ransomware. Al malware si lega una botnet che sta crescendo costantemente.


Per saperne di più > Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet

I ricercatori segnalano un forte incremento della botnet Emotet

Le pessime notizie riguardo a Emotet non accennano però a diminuire, anzi. I ricercatori di sicurezza hanno denunciato una vera e propria impennata nella distribuzione del malware. C'è anche il forte sospetto che, a breve, gli attaccanti eseguiranno lo switch ad un nuovo payload che, attualmente, è rilevato da un numero veramente ridotto di soluzioni di sicurezza e motori antivirus.