Infoblox publicó su reporte de amenazas sobre un kit de herramientas de troyanos de acceso remoto (RAT, por sus siglas en inglés) con comando y control (C2) para DNS. El kit de herramientas creó una firma DNS anómala observada en redes de empresas de Estados Unidos, Europa, Suramérica y Asia en los sectores de la tecnología, atención a la salud, energía, servicios financieros y otros. Algunas de estas comunicaciones se dirigen a un controlador en Rusia.
Con el nombre “Decoy Dog”, Threat Intelligence Group de Infoblox fue el primero en descubrir este kit de herramientas y colabora con otros proveedores de soluciones de seguridad, y también con clientes, para desalentar está actividad, identificar el vector de ataque y proteger redes globales. El aspecto decisivo es que las anomalías DNS medidas con el tiempo no solo sacaron los RAT a la luz, sino que finalmente enlazaron comunicaciones C2 aparentemente independientes.
“Decoy Dog es un firme recordatorio de la importancia de contar con una sólida estrategia para la protección de servidores DNS”, señaló Renée Burton, director sénior de inteligencia de amenazas de Infoblox. “Infoblox está enfocado en detectar amenazas en DNS, evadiendo ataques antes de que ocurran, y permitiendo a los clientes enfocarse en sus actividades de negocios”.
Como proveedor especializado en soluciones de seguridad para DNS, Infoblox da seguimiento a la infraestructura de sus adversarios y puede detectar actividad sospechosa al principio del ciclo de vida de las amenazas, dónde hay “intención de compromiso” y antes de que se inicie el ataque real. Como el curso normal de la actividad de los negocios, cualquier indicador que se considere sospechoso será incluido en los reportes de dominios sospechosos Infoblox, directo para los clientes, para ayudarles a protegerse de manera preventiva de amenazas nuevas y emergentes.
Descubrimiento, anatomía y mitigación de amenazas:
Infoblox continúa recomendando a las organizaciones bloquear los siguientes dominios:
“Aunque detectamos automáticamente miles de dominios sospechosos cada día en el nivel DNS (y con este nivel de correlación), es poco común descubrir que todas estas actividades se originen del mismo kit de herramientas que aprovecha el servidor DNS para ejercer comando y control”, agregó Burton.
El equipo de Infoblox trabaja las 24 horas del día para entender la actividad DNS. Problemas complejos como este evidencian la necesidad de contar con una estrategia de inteligencia a fondo para toda la industria dónde todos contribuyen a entender el campo de acción de una amenaza.
Productores, distribuidores y puntos de venta tienen sus propias necesidades para lograr la venta, y…
Por Thorsten Rosendahl y Hazel Burton, de Cisco Talos.
Las nuevas mejoras a FICO Platform continúan ofreciendo hiperpersonalización y aumentando el valor en las…
Veeam amplía la protección de las principales plataformas de virtualización con el soporte de Oracle…
Esta guía anual proporciona información esencial a los proveedores de soluciones que exploran programas de…
El Convenio establece las bases generales de coordinación para promover la transformación digital, el desarrollo…