El uso de DNS sobre HTTPS (DoH) para las comunicaciones de comando y control está dificultando el seguimiento de las botnets, según Spamhaus, una organización sin fines de lucro antispam.
Spamhaus, que se especializa en proporcionar información sobre spam y amenazas relacionadas, informó el jueves que vio un aumento del 23 % en los nuevos servidores de comando y control (C&C) de botnets en el último trimestre de 2021.
Sin embargo, la organización se quejó de que el uso de DoH “inclina la balanza a favor de los ciberdelincuentes”.
El protocolo DoH está diseñado para aumentar la privacidad y la seguridad al garantizar que la información de DNS esté protegida mediante encriptación mientras está en tránsito. DoH ha sido cada vez más adoptado por los principales fabricantes de navegadores web, e incluso el La NSA ha aconsejado negocios para usarlo.
Sin embargo, DoH también ha sido aprovechado cada vez más por los ciberdelincuentes. La primera familia de malware que abusó de DoH para proteger las comunicaciones fue el dioslua puerta trasera, en 2019, y otros actores de amenazas han recurrido desde entonces al protocolo para ocultar sus actividades.
Spamhaus dijo el jueves que las familias de malware FluBot y TeamBot fueron responsables de “una explosión de malware de puerta trasera” en el tercer trimestre de 2021. Sin embargo, en el cuarto trimestre, parecieron desaparecer por completo.
La organización sin fines de lucro dice que las dos amenazas aún están muy activas, pero ya no tiene visibilidad debido al uso de DoH, incluidos los servicios de DoH proporcionados por las principales empresas como Google y Alibaba.
La organización se quejó de que dado que ya no tiene visibilidad de FluBot y TeamBot DNS, ya no puede identificar las direcciones IP que usan y agregarlas a sus listas de bloqueo; las empresas pueden usar estas listas para bloquear el tráfico malicioso.
"DoH no solo hace que cazar a los malhechores sea aún más desafiante, sino que también significa que los productos de seguridad basados en el monitoreo y filtrado de DNS podrían ser menos efectivos, lo cual está lejos de ser ideal". Spamhaus dijo. "Los problemas de seguridad se agravan debido a que los principales proveedores de DoH no filtran las resoluciones DNS dañinas de los dominios de botnet, phishing o malware".
Relacionado: Identificación del tráfico DNS sobre HTTPS sin posibilidad de descifrado
Relacionado: Los investigadores de BlackBerry se sumergen en las operaciones TDS de Prometheus
Relacionado: Chrome 78 lanzado con DoH, 37 parches de seguridad
Eduardo Kovacs (@EduardKovacs) es un editor colaborador de SecurityWeek. Trabajó como profesor de informática en la escuela secundaria durante dos años antes de comenzar una carrera en periodismo como reportero de noticias de seguridad de Softpedia. Eduard tiene una licenciatura en informática industrial y una maestría en técnicas informáticas aplicadas a la ingeniería eléctrica.
Tags: Fuente: https://www.securityweek.com/doh-makes-it-difficult-track-botnets-spamhaus
