Quelles sont les techniques d’utilisation malveillante du DNS utilisées par les cybercriminels et quelles organisations peuvent aider les intervenants en cas d’incident et les équipes de sécurité à les détecter, les atténuer et les prévenir ? La matrice des techniques d’abus du DNS publiée par FIRST apporte des réponses.
Le système de noms de domaine (DNS) est un élément essentiel d’Internet, et il est souvent utilisé de manière abusive de nombreuses manières différentes par des acteurs malveillants.
FIRST est une association d’équipes de réponse aux incidents de sécurité informatique (CSIRT) d’organisations gouvernementales, commerciales et éducatives, et compte actuellement plus de 600 membres répartis dans le monde entier. Parmi ses nombreux groupes d’intérêts spéciaux (GIS), on trouve le DNS Abuse SIG, qui a compilé le Matrice des techniques d’abus DNS.
« Les CERT sont confrontés en permanence à des abus DNS signalés et s’appuient fortement sur l’analyse et l’infrastructure DNS pour protéger leurs circonscriptions », le DNS Abuse SIG notes.
« La compréhension des normes coutumières internationales applicables pour détecter et atténuer les abus DNS du point de vue de la communauté mondiale de réponse aux incidents est essentielle pour la stabilité, la sécurité et la résilience de l’Internet ouvert. »
Comprendre l’utilisation malveillante du DNS sous ses nombreuses formes
Le document définit 21 techniques d’abus de DNS : usurpation de DNS, détournement de résolveur récursif local, DNS en tant que vecteur de DoS ou canal de communication de commande et de contrôle (C2), enregistrement malveillant de domaines de second niveau, etc.
Les parties prenantes incluses vont des bureaux d’enregistrement, des registres et de divers fournisseurs (hébergement, service d’application, renseignements sur les menaces) aux CSIRT et ISAC (centres de partage et d’analyse d’informations) et aux autorités chargées de l’application de la loi et de la sécurité publique.
« Les conseils prennent actuellement la forme d’une matrice indiquant si une partie prenante spécifique peut aider directement avec une technique spécifique. Par « aider », nous entendons si la partie prenante est en mesure de détecter, d’atténuer ou de prévenir la technique d’abus », a expliqué le SIG.
« Nous avons organisé ces informations sous trois feuilles de calcul couvrant ces actions de réponse aux incidents. Par exemple, lors d’un incident impliquant un empoisonnement du cache DNS, l’équipe peut accéder à l’onglet Atténuation et consulter la ligne pour l’empoisonnement du cache DNS, afin de trouver les parties prenantes qu’elle pourrait contacter pour aider à atténuer l’incident. »
La matrice n’inclut pas les techniques que les attaquants peuvent utiliser en conjonction avec les techniques d’abus du DNS, et elle ne couvre pas non plus toutes les voies politiques, gouvernementales et judiciaires existantes que les intervenants en cas d’incident peuvent explorer lorsqu’ils traitent de l’abus du DNS.
Toute l’actualité en temps réel, est sur L’Entrepreneur