Decoy Dog

Decoy Dog 2023: kit de herramientas de malware

/ Ciberseguridad / Por

Se descubrió un nuevo conjunto de herramientas de malware dirigido a empresas llamado “Decoy Dog” después de inspeccionar el tráfico DNS anómalo que es distintivo de la actividad regular de Internet.

 

“Decoy Dog” es un término utilizado para describir una técnica que utilizan los actores cibercriminales para evadir los métodos de detección estándar que utilizan las empresas de seguridad informática.

Esta técnica se basa en dos elementos principales:

El envejecimiento estratégico del dominio y el goteo de consultas de DNS.

Cronología de revisiones de dominios sospechosos por los algoritmos de Infoblox.
Cronología de revisiones de dominios sospechosos por los algoritmos de Infoblox.

El envejecimiento estratégico del dominio implica registrar un nombre de dominio y mantenerlo activo durante un período de tiempo prolongado sin realizar ninguna actividad maliciosa visible.

De esta manera, los ciberdelincuentes pueden establecer una buena reputación con los proveedores de seguridad antes de pasar a facilitar las operaciones de ciberdelincuencia. Esto les permite pasar desapercibidos por las soluciones de seguridad que se basan en la identificación de comportamientos maliciosos.

El goteo de consultas de DNS implica enviar pequeñas cantidades de consultas de DNS a intervalos regulares, lo que ayuda a los ciberdelincuentes a camuflar su actividad maliciosa en la actividad normal del tráfico de red.

Este enfoque les permite evadir los sistemas de detección que se basan en la identificación de patrones de tráfico sospechosos.

En resumen, “Decoy Dog” es una técnica utilizada por los ciberdelincuentes para evadir la detección de los proveedores de seguridad.

Al registrar y mantener un dominio activo durante un período prolongado sin actividad maliciosa visible, los ciberdelincuentes pueden establecer una buena reputación con los proveedores de seguridad antes de pasar a facilitar sus operaciones de ciberdelincuencia.

El goteo de consultas de DNS les ayuda a camuflar su actividad maliciosa en el tráfico de red normal.

Esta técnica representa una amenaza importante para la ciberseguridad de una empresa, ya que puede permitir que los ciberdelincuentes operen sin ser detectados durante períodos prolongados de tiempo.

Los investigadores de Infoblox descubrieron el conjunto de herramientas a principios de abril de 2023 como parte de su análisis diario de más de 70 000 millones de registros de DNS para buscar signos de actividad anormal o sospechosa.

Esto sugiere que los ciberdelincuentes continúan evolucionando sus técnicas y herramientas para evadir la detección de los proveedores de seguridad. Además, es importante destacar la importancia de realizar análisis diarios de registros de DNS para identificar cualquier actividad anormal o sospechosa, lo que puede ayudar a las empresas a detectar y responder rápidamente a posibles amenazas de seguridad.

Infoblox informa que la huella digital DNS de Decoy Dog es extremadamente rara y única entre los 370 millones de dominios activos en Internet, lo que facilita su identificación y seguimiento.

Es interesante saber que la huella digital DNS de Decoy Dog es extremadamente rara y única, lo que facilita su identificación y seguimiento por parte de los proveedores de seguridad.

El patrón de consultas resueltas a lo largo del tiempo por dominios dentro de una sola red desde abril de 2022 hasta abril de 2023. Cada punto representa una resolución DNS en un día determinado. Los dominios en el gráfico, de arriba a abajo, son: cbox4[.]ignorelist[.]com, claudfront[.]net, allowlisted[.]net y hsdps[.]cc.
El patrón de consultas resueltas a lo largo del tiempo por dominios dentro de una sola red desde abril de 2022 hasta abril de 2023. Cada punto representa una resolución DNS en un día determinado. Los dominios en el gráfico, de arriba a abajo, son: cbox4[.]ignorelist[.]com, claudfront[.]net, allowlisted[.]net y hsdps[.]cc.
El patrón de consultas resueltas a lo largo del tiempo por dominios dentro de otra red única. Cada punto representa una resolución DNS en un día determinado. Los dominios en el gráfico, de arriba a abajo, son: claudfront[.]net, cbox4[.]ignorelist[.]com y allowlisted[.]net.
El patrón de consultas resueltas a lo largo del tiempo por dominios dentro de otra red única. Cada punto representa una resolución DNS en un día determinado. Los dominios en el gráfico, de arriba a abajo, son: claudfront[.]net, cbox4[.]ignorelist[.]com y allowlisted[.]net.
Esta información es valiosa para las empresas que buscan protegerse contra posibles amenazas de seguridad, ya que pueden utilizar esta información para monitorear sus registros de DNS y detectar cualquier actividad sospechosa que pueda estar relacionada con Decoy Dog.

La capacidad de identificar y seguir la huella digital única de una herramienta de ciberdelincuencia es un componente clave en la lucha contra el crimen cibernético y puede ayudar a las empresas a protegerse mejor contra las amenazas de seguridad en línea.

Es preocupante saber que la investigación de la infraestructura de Decoy Dog llevó al descubrimiento de varios dominios C2 que estaban vinculados a la misma operación, y que la mayoría de las comunicaciones de estos servidores se originaban en hosts en Rusia.

Esto sugiere que esta herramienta de ciberdelincuencia puede estar siendo utilizada por actores malintencionados con base en Rusia.

Es importante destacar que la identificación de la ubicación geográfica de los servidores C2 puede ser útil en la lucha contra la ciberdelincuencia, ya que puede ayudar a las autoridades a identificar y detener a los responsables de estos ataques.

Sin embargo, también es importante recordar que la identificación de una ubicación geográfica específica no significa necesariamente que la amenaza provenga de esa región, ya que los ciberdelincuentes pueden utilizar técnicas como el enmascaramiento de la dirección IP para ocultar su ubicación real.

Las investigaciones posteriores revelaron que los túneles DNS en estos dominios tenían características que apuntaban a Pupy RAT, un troyano de acceso remoto implementado por el kit de herramientas Decoy Dog.

Esto sugiere que los actores malintencionados detrás de Decoy Dog están utilizando una variedad de herramientas de ciberdelincuencia para llevar a cabo sus ataques, lo que hace que sea aún más difícil para los proveedores de seguridad detectar y prevenir estas amenazas.

Es importante que las empresas se mantengan al tanto de las últimas técnicas y herramientas utilizadas por los ciberdelincuentes y adopten medidas de seguridad adecuadas para proteger sus sistemas y datos.

La detección temprana de actividades sospechosas y la implementación de medidas de seguridad adecuadas pueden ayudar a minimizar el riesgo de un ataque exitoso.

Pupy RAT es un kit de herramientas modular de código abierto posterior a la explotación popular entre los actores de amenazas patrocinados por el estado por su capacidad de evadir la detección.

Además, el hecho de que admita comunicaciones C2 cifradas y pueda ayudar a los actores de amenazas a combinar sus actividades con otros usuarios de la herramienta, lo cual lo hace aún más peligroso.

Es importante que las empresas estén al tanto de las herramientas de ciberdelincuencia utilizadas por los actores malintencionados y tomen medidas adecuadas para proteger sus sistemas y datos.

La implementación de medidas de seguridad adecuadas, como el monitoreo constante de los registros de DNS, la detección temprana de actividades sospechosas y la implementación de firewalls y soluciones antivirus actualizadas, puede ayudar a minimizar el riesgo de un ataque exitoso.

Además, las empresas también deben educar a sus empleados sobre los riesgos de seguridad en línea y cómo pueden contribuir a la protección de la empresa contra posibles amenazas.

El proyecto Pupy RAT admite cargas útiles en todos los principales sistemas operativos, incluidos Windows, macOS, Linux y Android. Al igual que otras RAT, permite a los actores de amenazas ejecutar comandos de forma remota, elevar privilegios, robar credenciales y propagarse lateralmente a través de una red.

Los actores menos calificados no suelen utilizar Pupy RAT debido a la complejidad de su implementación y la necesidad de conocimientos y experiencia en la configuración del servidor DNS para las comunicaciones C2.

Esto sugiere que los actores detrás de Decoy Dog son muy hábiles y tienen un alto nivel de conocimiento técnico. Es importante que las empresas estén conscientes de las habilidades y técnicas utilizadas por los actores de amenazas y tomen medidas de seguridad adecuadas para proteger sus sistemas y datos.

La implementación de medidas de seguridad adecuadas, como la implementación de firewalls y soluciones antivirus actualizadas, el monitoreo constante de los registros de DNS y la capacitación de los empleados sobre los riesgos de seguridad en línea, puede ayudar a minimizar el riesgo de un ataque exitoso.

Es interesante saber que la firma de múltiples partes (DNS) proporcionó una mayor confianza en la identificación de los dominios correlacionados y su relación con Decoy Dog.

Este hallazgo sugiere que los actores detrás de Decoy Dog son altamente sofisticados y capaces de implementar Pupy de una manera muy específica en empresas o grandes dispositivos organizacionales, que no son de consumo.

Es importante que las empresas estén conscientes de las técnicas utilizadas por los actores de amenazas y tomen medidas adecuadas para proteger sus sistemas y datos.

La implementación de medidas de seguridad adecuadas, como la segmentación de redes, el monitoreo constante de los registros de DNS y la educación de los empleados sobre los riesgos de seguridad en línea, puede ayudar a minimizar el riesgo de un ataque exitoso.

Además, es importante que las empresas mantengan sus sistemas actualizados y apliquen parches de seguridad de manera oportuna para reducir la exposición a vulnerabilidades conocidas.

Los analistas descubrieron un comportamiento distintivo de señalización de DNS en todos los dominios de Decoy Dog.

Este comportamiento sigue un patrón particular de generación de solicitudes de DNS periódica pero poco frecuente, lo que sugiere una técnica de enmascaramiento y evasión utilizada por los actores detrás de Decoy Dog para evitar la detección.

Es importante que las empresas estén conscientes de estas técnicas de enmascaramiento y evasión utilizadas por los actores de amenazas y tomen medidas adecuadas para proteger sus sistemas y datos.

La implementación de medidas de seguridad adecuadas, como la implementación de firewalls y soluciones antivirus actualizadas, el monitoreo constante de los registros de DNS y la capacitación de los empleados sobre los riesgos de seguridad en línea, puede ayudar a minimizar el riesgo de un ataque exitoso.

Me resulta preocupante que la operación Decoy Dog haya estado en marcha desde principios de abril de 2022 y haya permanecido bajo el radar durante más de un año a pesar de los valores atípicos extremos que los dominios del kit de herramientas muestran en el análisis.

Esto sugiere que los actores detrás de esta operación son muy hábiles y están altamente motivados para evadir la detección.

Las empresas deben ser conscientes de que los ciberdelincuentes pueden pasar largos períodos de tiempo en su red antes de lanzar un ataque, y deben implementar medidas de seguridad adecuadas para detectar y responder a las amenazas en todas las etapas del ciclo de vida del ataque.

Esto puede incluir la implementación de monitoreo constante de los registros de DNS y otras soluciones de seguridad avanzadas para detectar comportamientos maliciosos en tiempo real y tomar medidas inmediatas para proteger los sistemas y datos empresariales.

Además, es importante que las empresas realicen una capacitación regular de seguridad cibernética para sus empleados y adopten prácticas de seguridad cibernética sólidas para reducir el riesgo de éxito de los ataques.

Anatomía de los registros de dominio de Decoy Dog

el descubrimiento de Decoy Dog destaca la importancia del uso de análisis de datos a gran escala para detectar actividad anómala en Internet.

La cantidad de datos que se generan en línea cada día es abrumadora, y es difícil para los humanos procesar y analizar toda esta información sin la ayuda de herramientas y tecnologías avanzadas.

Los investigadores de seguridad utilizan diversas técnicas y tecnologías para monitorear y analizar grandes conjuntos de datos, incluyendo registros de DNS, para detectar patrones y comportamientos sospechosos que puedan indicar la presencia de ciberataques y otros delitos cibernéticos.

Esto permite a las empresas y a los organismos de seguridad responder rápidamente a las amenazas y tomar medidas para proteger sus sistemas y datos.

El análisis de datos a gran escala es esencial para detectar y responder a las amenazas cibernéticas en el entorno en constante evolución de Internet.

Las empresas y los organismos de seguridad deben utilizar herramientas y tecnologías avanzadas, como la inteligencia artificial y el aprendizaje automático, para procesar y analizar grandes conjuntos de datos en tiempo real y detectar patrones y comportamientos anómalos que puedan indicar la presencia de ataques cibernéticos.

Es importante destacar que Infoblox ha agregado los dominios de Decoy Dog a su lista de “Dominios sospechosos” con el objetivo de ayudar a los defensores, analistas de seguridad y organizaciones objetivo a protegerse contra esta amenaza sofisticada.

Esta lista puede ser utilizada por estas entidades para bloquear o monitorear cualquier actividad relacionada con estos dominios, lo que puede ayudar a prevenir posibles ataques y minimizar su impacto.

Además, la inclusión de estos dominios en la lista de “Dominios sospechosos” demuestra el compromiso de Infoblox con la ciberseguridad y la protección del ecosistema en línea.

El descubrimiento de Decoy Dog y la identificación de varios dominios aparentemente no relacionados que utilizaban el mismo conjunto de herramientas raro fueron posibles gracias a una combinación de procesos automáticos y humanos.

Los procesos automáticos de análisis de datos permitieron detectar patrones anómalos de DNS en los dominios, mientras que los expertos en seguridad analizaron los datos para determinar que los dominios estaban vinculados a la misma operación y utilizaban el kit de herramientas Decoy Dog.

Esta combinación de procesos automáticos y expertos en seguridad es fundamental para la detección temprana de amenazas en línea y para la protección efectiva contra ataques cibernéticos sofisticados.

Debido a que la situación es compleja y nos hemos centrado en los aspectos de DNS del descubrimiento, esperamos obtener más detalles de la industria, además de nosotros mismos, en el futuro”.

La compañía también ha compartido indicadores de compromiso en su repositorio público de GitHub , que se puede usar para agregar manualmente a las listas de bloqueo.

Es una buena práctica que las organizaciones utilicen estos indicadores para protegerse contra las amenazas conocidas.

Sin embargo, es importante recordar que las amenazas cibernéticas están en constante evolución y siempre hay nuevos vectores de ataque.

Por lo tanto, es fundamental que las organizaciones adopten una postura de seguridad en capas y estén siempre vigilantes y actualizadas en sus prácticas de seguridad.

10 buenas prácticas para combatir Decoy Dog y otras amenazas de ciberseguridad similares:

  1. Mantenga el software y los sistemas actualizados con las últimas actualizaciones y parches de seguridad.
  2. Use una solución de seguridad integral que incluya firewalls, antivirus y software de detección de amenazas avanzadas.
  3. Implemente políticas de seguridad estrictas para los empleados, incluida la capacitación regular en seguridad cibernética y la aplicación de contraseñas seguras.
  4. Limite los privilegios de acceso de los empleados a sistemas y aplicaciones solo a lo que es necesario para su trabajo.
  5. Use autenticación de dos factores para aumentar la seguridad de las cuentas de usuario.
  6. Realice copias de seguridad de los datos y pruebas regulares de recuperación de desastres para evitar la pérdida de datos.
  7. Realice análisis de vulnerabilidades y pruebas de penetración en la red regularmente para identificar posibles puntos débiles en la seguridad.
  8. Monitoree de cerca los registros de eventos de DNS y otros sistemas para detectar actividad sospechosa.
  9. Implemente una política de “cero confianza” en la que se autentique a cada usuario y dispositivo antes de permitir el acceso a la red.
  10. Trabaje con un equipo de seguridad cibernética experimentado y confiable que pueda ayudarlo a detectar y mitigar amenazas de seguridad cibernética.

Consejos para el CEO

Los CEO deben considerar que los ataques de phishing son una amenaza importante para la seguridad de la información, ya que pueden resultar en la pérdida de datos valiosos, la interrupción de los sistemas de la organización, el robo de identidad, entre otros riesgos. Por lo tanto, la implementación de soluciones de ciberseguridad como Decoy Dog puede ayudar a prevenir estos riesgos.

En términos de prioridad, los CEO deberían considerar implementar soluciones de seguridad para protegerse contra una amplia gama de amenazas, incluyendo los ataques de phishing. Además, deben evaluar el nivel de riesgo específico de su organización y determinar cuánto están dispuestos a invertir en soluciones de seguridad. En última instancia, la prioridad dependerá de la naturaleza y el alcance de las amenazas a las que se enfrenta la organización y de los recursos disponibles para protegerse contra ellas.

Decoy Dog, Decoy Dog, Decoy Dog, Decoy Dog, Decoy Dog, Decoy Dog, Decoy Dog, Decoy Dog, Decoy Dog, Decoy Dog, Decoy Dog, Decoy Dog, Decoy Dog, Decoy Dog, 

Por Marcelo Lozano – General Publisher IT CONNECT LATAM

 

Lea más sobre ciberseguridad en;

Inversión en seguridad 2023: simple y efectiva

RSA 2023: Emmett ‘Doc’ Brown trae información del Futuro

CVE-2023-20036: Cisco repara sus vulnerabilidades críticas

CISO 2023: cómo tener éxito y no morir en el intento

Ransomware 2023: como derrotar al vector más veloz del mundo

Scroll al inicio