Dominio de confianza, tráfico ajeno: especialistas revelan la técnica Underminr para burlar filtros DNS de seguridad
Los métodos de filtrado tradicionales fallan justo donde la red parece predecible.
El equipo de ADAMnetworks describió una nueva técnica para evadir filtros DNS de protección, que permite que el tráfico malicioso se esconda detrás de dominios de confianza y de la infraestructura de CDN. Este recurso es peligroso no solo para las empresas que dependen de la filtración DNS, sino también para propietarios de sitios comunes: sus dominios pueden acabar en listas sospechosas por la vecindad con actividad maliciosa ajena.
La técnica recibió el nombre Underminr. Según ADAMnetworks, el atacante primero obtiene la dirección IP de un dominio autorizado alojado en una CDN y luego se conecta a esa misma IP de borde, pero indica en SNI o en el campo Host de HTTP otro dominio que atiende la misma infraestructura. Como resultado, el sistema de defensa ve una petición hacia el recurso autorizado, mientras que el intercambio real de datos se realiza con otro sitio.
Los autores del informe subrayan que Underminr difiere del antiguo domain fronting. En el esquema anterior, el dominio externo y el SNI normalmente apuntaban al recurso de confianza, y la dirección verdadera se ocultaba en el campo Host de HTTP dentro de la conexión cifrada. En el esquema nuevo, la discrepancia clave surge entre la respuesta DNS y el nombre que la CDN atiende realmente en la IP compartida.
ADAMnetworks afirma que ya ha visto configuraciones similares en materiales relacionados con abusos. Según la compañía, el método puede ayudar a evadir el Protective DNS, ocultar conexiones C2, entregar cargas maliciosas adicionales y filtrar datos. Un riesgo adicional está relacionado con Encrypted Client Hello, ya que ECH oculta el SNI interno ante la inspección pasiva y dificulta a los defensores correlacionar la consulta DNS con la dirección TLS final.
El informe describe varias variantes del ataque. En el escenario simple, la aplicación maliciosa obtiene la IP de un dominio de confianza y se conecta a la misma dirección con un SNI distinto. En el escenario split, la primera sesión TLS parece legítima y supera la verificación inicial, tras lo cual se crea una nueva conexión al mismo nodo de la CDN con el nombre suplantado. Otra variante no genera ningún evento DNS para el dominio oculto si el cliente va directamente a la IP.
Para los propietarios de dominios, el problema resulta desagradable: un sitio puede ser vulnerable si el DNS apunta a una infraestructura CDN compartida que acepta SNI o Host ajenos en el mismo nodo. ADAMnetworks lanzó el servicio de comprobación Underminr, donde los dominios reciben estado verde, amarillo o rojo según el resultado de la prueba y su inclusión en la lista de abusos conocidos.
Como protección, la compañía aconseja tratar por separado los dominios autorizados y las direcciones ocultas, verificar las relaciones entre caché DNS, SNI, Host y la IP de la CDN, así como filtrar ECH mediante respuestas DNS controladas. Para los propietarios de sitios, las opciones pasan por trabajar con el proveedor de CDN o trasladar el alojamiento a un entorno donde el enrutamiento esté más estrictamente ligado a cada cliente.