Sumidero de DNS o DNS Sinkhole

Un sumidero de DNS o DNS Sinkhole, es un servidor DNS que proporciona información falsa acerca de un dominio determinado. Este control permite interceptar consultas DNS que intentan acceder a dominios maliciosos conocidos como botnets y spyware. Es un método empleado para la contención de malware, prevenir el acceso a servidores de Comando y Control (C&C) e interrupción de ataques de Denegación de Servicio (DoS) disminuyendo el riesgo de amenazas existentes en una determinada red. Cuando un cliente solicita la resolución de una dirección de un host o dominio, el sumidero puede retornar una dirección no enrutable o cualquier dirección excepto la dirección real, denegado al cliente el establecimiento de la conexión con el host solicitado.

AnubisNetworks es uno de los principales proveedores de inteligencia de amenazas y seguridad de correo electrónico de Europa. Cuenta además con una infraestructura de sumidero para llevar a cabo labor de inteligencia de amenazas a través de la recopilación de telemetría e indicadores en torno a sistemas comprometidos. Para el análisis de las botnets identificadas emplea la subred 195.22.26.192/26.

Existen firmas para los Sistemas de Detección de Intrusos de Red (NIDS, por sus siglas en inglés) suministradas por Proofpoint’s Emerging Threats para detectar actividad de sumidero de AnubisNetworks, como se muestra a continuación:

  • ET TROJAN Possible Compromised Host Sinkhole Cookie Value Snkz
  • ET MALWARE AnubisNetworks Sinkhole SSL Cert lolcat – specific IPs
  • ET MALWARE Connection to AnubisNetworks Sinkhole IP (Possible Infected Host)
  • ET MALWARE DNS Reply Sinkhole – Anubis – 195.22.26.192/26
  • ET MALWARE AnubisNetworks Sinkhole TCP Connection
  • ET MALWARE AnubisNetworks Sinkhole UDP Connection
  • ET MALWARE AnubisNetworks Sinkhole HTTP Response – 195.22.26.192/26

Estas firmas pueden ser generadas a través de valores de cookies, certificados SSL, comunicación con direcciones IP, respuestas DNS, conexiones TCP, conexiones UDP y respuestas HTTP, alertando a través de las herramientas de monitoreo la presencia de actividad maliciosa en la red. Con la información obtenida de las alertas generadas se puede realizar un análisis más profundo e identificar, aplicaciones y servicios que intentan acceder a las direcciones identificadas y así eliminar y/o aplicar reglas en el dispositivo para bloquear dicho tráfico.

Medidas a Implementar:

1-     Instalar y mantener actualizado sistema antivirus.

2-    Instalar aplicaciones solamente desde fuentes confiables.

3-    Para la investigación de este tipo de evento en dispositivos móviles, se recomienda emplear aplicaciones, como Cortafuegos Sin Root para la identificación de la aplicación o servicio que envía tráfico hacia la dirección identificada.

Entradas relacionadas

Dejar un Comentario