O Domain Name Server (DNS) é um dos protocolos mais usados e confiáveis na Internet. No entanto, os atacantes há muito se valem de uma técnica chamada DNS Tunneling para se aproveitarem desse protocolo para ciberataques, desviando o tráfego malicioso das defesas de uma organização. Para reforçar a segurança especificamente sobre o DNS, a Check Point Software Technologies Ltd, uma fornecedora líder de soluções de cibersegurança global, lança uma nova ferramenta alimentada por IA chamada DeepDNS para localizar e bloquear ataques que se aproveitam desse protocolo. Portanto, a Check Point Software lança ferramenta com IA para bloquear ciberataques de DNS Tunneling.
A ferramenta DeepDNS:
- evita cinco vezes mais ataques de DNS zero que soluções DNS tradicionais;
- detecta 47% mais ataques de DNS em relação a outros fornecedores de segurança;
- é um dos mais de 40 mecanismos de IA da rede ThreatCloud AI da Check Point Software, também conhecida como “o cérebro” por trás dos produtos e soluções da empresa.
A proteção da Check Point ThreatCloud AI contra DNS Tunneling (tunelamento de DNS que explora o protocolo para esconder dados em pedidos e respostas DNS) usa um mecanismo avançado, baseado em dados de aprendizado profundo, para análise de consulta DNS de modo a entender as tentativas de tunelamento. O sensor encaminha a consulta DNS à ThreatCloud AI para análise com lógica de Deep Learning e que responde com uma decisão.
“Embora não seja uma técnica nova, os cibercriminosos, os hacktivistas e os hackers patrocinados pelo Estado continuam usando o DNS Tunneling para escapar das defesas da rede e exfiltrar dados confidenciais. Nós descobrimos que a IA é uma ferramenta útil na identificação e prevenção de ataques de DNS e outros. Esta é uma inovação que proporciona a todos estarem um passo à frente dos ciberataques”, afirma Sergey Shykevich, gerente de grupo de pesquisas da Check Point Research (CPR).
Check Point Software lança ferramenta com IA para bloquear ciberataques de DNS Tunneling
O DNS Tunneling é provavelmente considerado uma relíquia dos primeiros dias da Internet, quando os primeiros firewalls foram implementados e a análise de malware era um pouco mais simples do que é hoje. Embora os atacantes tenham evoluído, usando esteganografia e criptografia para se comunicar por HTTP, o tunelamento do DNS não está obsoleto. Na verdade, os agentes de malware modernos continuam a se envolver no encapsulamento de DNS, como evidenciado pelas infecções do CoinLoader, relatadas pela primeira vez em um extenso relatório da Avira.
A técnica DGA – Domain Generation Algorithm ou Algoritmo de Geração de Domínio – é comumente utilizada por atacantes na primeira comunicação com a infraestrutura de comando e controle (C&C). O DGA significa que o domínio é gerado pelo host infectado e registrado pelo atacantes ao mesmo tempo, ignorando assim os serviços tradicionais de reputação de domínio porque são domínios vistos recentemente. Uma análise mais detalhada da infraestrutura conectada a esses domínios sugere que eles fazem parte de um canal de backup de DNS usado para infecções por malware CoinLoader.
A ferramenta DeepDNS da Check Point Software é capaz de analisar essas diferenças e evitar que infecte sua rede. As conclusões tiradas pelo DeepDNS são automaticamente enviadas para a Check Point ThreatCloudAI.
Para mais detalhes da ferramenta Check Point DeepDNS e sobre o estudo de caso envolvendo o CoinLoader, acessar o blog da Check Point Software.