Observas que un único host realiza miles de consultas DNS inusuales y largas de tipo TXT hacia un solo dominio. ¿Cuál es la explicación más probable y la acción?
Respuesta breve
Consultas TXT de alto volumen y alta entropía, o subdominios largos hacia un solo dominio, son una firma clásica de tunneling DNS / C2-exfiltración: se cuelan datos dentro del DNS para evadir el filtrado de salida. Captura una muestra de consultas para analizarla, sinkholea o bloquea el dominio para cortar el canal, y pivota al host para hallar el proceso responsable. Descartarlo como caché normal o un sitio lento deja pasar una exfiltración en curso. Reiniciar el servidor DNS no hace nada contra el endpoint comprometido y solo interrumpe la resolución de nombres.
El DNS está permitido hacia fuera de casi cualquier red, que es precisamente por lo que los atacantes lo abusan como canal encubierto. Miles de consultas TXT largas y codificadas de forma extraña desde un único host hacia un solo dominio son una firma de manual de tunneling DNS — y esta pregunta evalúa si la reconoces y respondes, en lugar de racionalizarla.
Por qué el tunneling es la explicación probable
El DNS benigno es corto, cacheado y variado entre muchos dominios. El patrón aquí es lo contrario: alto volumen, alta entropía (subdominios de apariencia aleatoria que portan datos codificados), etiquetas largas, a menudo registros TXT, todos dirigidos a un solo dominio que el atacante controla. Son datos troceados en consultas DNS para exfiltrar información o llevar tráfico C2 más allá del filtrado de salida que bloquearía una conexión saliente normal.
La respuesta correcta es triple: capturar una muestra de las consultas (para análisis y extracción de IOC), sinkholear o bloquear el dominio malicioso en tu resolutor/firewall para cortar el canal, y pivotar al host para identificar el proceso que genera el tráfico y empezar a delimitar la compromisión.
Por qué fallan las otras opciones
- Caché normal; ignorarlo — el caché reduce las consultas; no produce miles de búsquedas TXT largas y únicas hacia un solo dominio. Descartarlo deja pasar una exfiltración en curso.
- Servidor DNS mal configurado; reiniciarlo — la anomalía es el endpoint, no el resolutor. Reiniciar el DNS interrumpe la resolución de nombres de todos y deja al host comprometido tunelizando tranquilamente en cuanto vuelve el servicio.
- Solo un sitio lento — los sitios lentos causan latencia, no un torrente de consultas TXT de alta entropía hacia un solo dominio. Esta racionalización es exactamente el punto ciego con el que cuentan los atacantes.
Qué evalúa el entrevistador
Quiere un candidato que reconozca el patrón de abuso de protocolo, entienda por qué el DNS es un canal de exfiltración preferido, y responda con capturar, contener (sinkhole/bloqueo) e investigar el host — en ese orden. Nombrar las características de consulta (longitud, entropía, tipo de registro, dominio único) muestra que sabes distinguir la exfiltración encubierta del ruido DNS ordinario.
Posibles preguntas de seguimiento
- ¿Qué características de consulta (longitud, entropía, tipo de registro, frecuencia) distinguen el tunneling del DNS benigno?
- ¿Por qué el DNS es un canal encubierto preferido, y cómo se escapa de los controles de salida habituales?
- Una vez que encuentras el proceso en el host, ¿cómo delimitas si ya salieron datos y qué se llevaron?