Explica la exfiltración de datos por DNS y cómo la detectaría un equipo azul.
Respuesta breve
La exfiltración por DNS codifica datos robados en consultas DNS (p. ej. etiquetas de subdominio largas enviadas a un servidor autoritativo controlado por el atacante), abusando de que el DNS casi siempre está permitido en salida y a menudo sin monitorizar. Detéctala con anomalías: volumen de consultas inusualmente alto a un dominio, subdominios largos / de alta entropía, muchos subdominios únicos por dominio padre, abuso de registros TXT/NULL y consultas a dominios recién registrados o raros.
La exfiltración por DNS es una favorita porque el DNS es el protocolo que todos olvidan vigilar. Los firewalls bloquean la mayoría de los puertos salientes, pero el puerto 53 está casi siempre abierto, los hosts internos confían en el resolutor y pocos equipos inspeccionan el contenido de las consultas. Los entrevistadores preguntan esto para probar si entiendes los canales encubiertos y sabes construir detección a partir de las características del tráfico en vez de firmas.
Cómo funciona
El atacante controla el servidor DNS autoritativo de un dominio que posee, digamos evil.com. El malware en una víctima codifica fragmentos de datos robados (a menudo en base32/hex) en etiquetas de subdominio y emite resoluciones como Y2FyZHM.chunk2.evil.com. La consulta recorre la jerarquía DNS hasta llegar al servidor del atacante, que registra los datos y puede responder en la respuesta (p. ej. un registro TXT o NULL) para formar un canal bidireccional, la base de herramientas como iodine y dnscat2. Es lento y parlanchín, pero se cuela bajo los controles de salida y es ideal para C2 y robo de pequeñas cantidades de datos.
Cómo detectarla
Busca anomalías estadísticas, no cadenas:
- Alto volumen de consultas a un único dominio padre desde un host.
- Subdominios largos y etiquetas de alta entropía (los datos codificados parecen aleatorios, a diferencia de los nombres de host reales).
- Muchos subdominios únicos bajo un mismo dominio (cada consulta lleva nuevos datos).
- Uso intensivo de los tipos de registro TXT/NULL y respuestas grandes.
- Consultas a dominios recién registrados, raros o de baja reputación, y clientes que evitan el resolutor corporativo.
Por qué importa
Las defensas incluyen forzar todo el DNS a través de resolutores inspeccionados, DNS firewalling / sinkholing, feeds de inteligencia para dominios maliciosos y analítica sobre las señales anteriores. Una buena respuesta explica por qué se abusa del DNS, esboza el mecanismo de codificación en el subdominio y enumera detecciones de comportamiento, mostrando que sabes cazar canales encubiertos sin una firma clara.
Posibles preguntas de seguimiento
- ¿Por qué el DNS es un canal encubierto tan atractivo en comparación con HTTP?
- ¿Cómo estructura sus consultas una herramienta de tunneling como iodine o dnscat2?
- ¿Cómo ayudaría aquí un firewall de DNS o un sinkhole?