Solução para detecção de tunelamento DNS em ambiente de nuvem computacional

Abstract

O tunelamento DNS usa recursos do protocolo DNS para estabelecer canais de comando e controle (C2), podendo ser utilizado como uma ferramenta maliciosa para exfiltração de dados. Atualmente, as ameaças cibernéticas usando túneis DNS afetam sistemas multiplataforma, explorando recursos computacionais locais e em nuvem. Muitos estudos de detecção de tunelamento DNS combinam técnicas de extração de parâmetros e algoritmos de machine learning (ML), alcançando elevados níveis de acurácia. Entretanto, treinar modelos de ML em larga escala e em tempo real, continua sendo um desafio operacional e de alto custo computacional para muitas instituições. Este estudo propõe uma metodologia para detecção de tunelamento DNS, através de coletas de recursos híbridos, utilizando algoritmos não-supervisionados para identificação de anomalias. A validação utiliza tráfego e consultas DNS coletados à partir da plataforma em nuvem AWS para construção de um dataset. Foram feitas análises para situações práticas de C2, exfiltração e infiltração de dados, testes de verificação de túneis, além de transferências de dados leves e reduzido número de requisições DNS. Os resultados para as detecções de anomalias foram efetivos para ferramentas de tunelamento DNS como Iodine, Dnscat2, DNSExfiltrator, DNSStager e o utilitário Flightsim. O modelo proposto tem uma abordagem operacional e modular, com a possibilidade de adaptação para diversas plataformas de computação em nuvem, integrando registros de recursos locais (on-premise), para assim, compor sistemas de controles de segurança nas organizações.