Skip to content

¿Por qué son útiles los logs de DNS para la detección y qué amenazas puedes encontrar en ellos?

Respuesta breve

Casi todo pasa por el DNS, así que los logs de DNS revelan amenazas que otras fuentes pasan por alto: beaconing de command-and-control (llamadas regulares a un dominio), tunneling y exfiltración DNS (alto volumen de subdominios largos y codificados) y dominios generados algorítmicamente (DGA). Se detectan mediante patrones como la regularidad de las consultas, la entropía, los tipos de registro y el volumen, no por una sola resolución sospechosa.

El DNS es una de las fuentes de logs más infravaloradas de un SOC. Como casi toda acción de red comienza con una resolución de nombre, el DNS ofrece visibilidad casi universal, y los atacantes también dependen de él. Esta es una pregunta más bien senior porque el valor está en los patrones, no en las consultas individuales.

Beaconing de command-and-control

El malware que llama a casa suele resolver su dominio C2 a intervalos regulares. En los logs de DNS eso aparece como consultas periódicas y mecánicas al mismo dominio —cada 60 segundos, por ejemplo— con poco jitter. Los humanos navegan de forma irregular; los beacons son metronómicos. Detectar la regularidad (y los dominios raros o recién registrados) señala C2 incluso cuando el propio tráfico C2 está cifrado.

Tunneling y exfiltración DNS

Como el DNS casi siempre está permitido hacia afuera, los atacantes lo abusan como canal encubierto. Codifican los datos robados en subdominios largos y de alta entropía (a8f3...e2.exfil.evil.com) y leen las respuestas (a menudo registros TXT) en busca de instrucciones. Las pistas son una longitud de consulta anormal, alta entropía, tipos de registro inusuales (muchos TXT o NULL) y un alto volumen de subdominios únicos bajo un mismo dominio padre.

Dominios DGA

Algunos malwares usan algoritmos de generación de dominios (DGA) para calcular cientos de dominios pseudoaleatorios de modo que los defensores no puedan bloquear uno solo. La firma son muchas respuestas NXDOMAIN (dominio inexistente) para nombres de alta entropía y aspecto ininteligible, mientras el malware busca el que está activo.

Detectar sobre patrones, no resoluciones aisladas

El hilo común: rara vez atrapas estas amenazas con una sola consulta. Agregas: regularidad, entropía, longitud, mezcla de tipos de registro, tasa de NXDOMAIN y dominios vistos por primera vez.

Un matiz moderno

DNS over HTTPS puede ocultar consultas de tus logs de resolutor, por lo que los SOC fuerzan cada vez más los resolutores internos y bloquean el DoH externo para conservar la visibilidad.

Por qué importa

Un analista que explota el DNS en busca de patrones de comportamiento puede atrapar C2 sigiloso y exfiltración que los logs de endpoint o proxy pasan por alto, exactamente el tipo de pensamiento por capas que los entrevistadores senior buscan sondear.

Posibles preguntas de seguimiento

  • ¿Cómo se ve el beaconing DNS comparado con la navegación normal?
  • ¿Cómo saca datos el tunneling DNS y cuál es la pista?
  • ¿Cómo complica DNS over HTTPS (DoH) la detección basada en DNS?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.