A Check Point® Software Technologies Ltd. (NASDAQ: CHKP) desenvolveu uma nova ferramenta impulsionada por IA, chamada DeepDNS, para reforçar a segurança em relação ao protocolo DNS. Embora o Domain Name Server (DNS) seja um dos protocolos mais confiáveis e amplamente utilizados na Internet, os invasores há muito tempo exploram a técnica de DNS Tunneling para desviar tráfego mal-intencionado das defesas de uma organização e realizar ciberataques. A ferramenta DeepDNS é capaz de localizar e bloquear esses ataques maliciosos que exploram o protocolo DNS.
Destaques
• Evita cinco vezes mais ataques de DNS zero que soluções DNS tradicionais;
• Detecta 47% mais ataques de DNS em relação a outros fornecedores de segurança;
• É um dos mais de 40 mecanismos de IA da rede ThreatCloud AI da Check Point Software, também conhecida como “o cérebro” por trás dos produtos e soluções da empresa.
O recurso Check Point ThreatCloud AI oferece proteção contra o DNS Tunneling. Esse tipo de ataque explora o protocolo DNS para ocultar dados em solicitações e respostas, mas com o mecanismo avançado de aprendizado profundo, a análise de consulta DNS pode detectar tentativas de tunelamento. O sensor envia as consultas DNS para análise pela ThreatCloud AI, que usa a lógica de Deep Learning para tomar uma decisão e responder com a solução adequada.
“Embora não seja uma técnica nova, os cibercriminosos, os hacktivistas e os hackers patrocinados pelo Estado continuam usando o DNS Tunneling para escapar das defesas da rede e exfiltrar dados confidenciais. Nós descobrimos que a IA é uma ferramenta útil na identificação e prevenção de ataques de DNS e outros. Esta é uma inovação que proporciona a todos estarem um passo à frente dos ciberataques”, afirma Sergey Shykevich, gerente de grupo de pesquisas da Check Point Research (CPR).
O DNS Tunneling é frequentemente considerado uma técnica antiga dos primeiros dias da Internet, quando os primeiros firewalls foram implementados e a análise de malware era mais simples do que é hoje. Mesmo com a evolução dos atacantes, que agora usam esteganografia e criptografia para se comunicar por HTTP, o tunelamento do DNS ainda é utilizado. De fato, os agentes de malware modernos continuam a empregar o encapsulamento de DNS, como visto nas infecções do CoinLoader, que foram detalhadas em um extenso relatório da Avira.
Entenda a Técnica DGA – Algoritmo de Geração de Domínio
A técnica DGA – Domain Generation Algorithm, ou Algoritmo de Geração de Domínio – é frequentemente usada por invasores na primeira comunicação com a infraestrutura de comando e controle (C&C). O DGA significa que o domínio é gerado e registrado pelo host infectado ao mesmo tempo, o que ignora os serviços tradicionais de reputação de domínio, pois são domínios recentemente visualizados. Após uma análise mais aprofundada da infraestrutura conectada a esses domínios, sugere-se que eles fazem parte de um canal de backup de DNS usado para infecções por malware CoinLoader.
A ferramenta DeepDNS é capaz de analisar discrepâncias e evitar a propagação de infecções em sua rede. As descobertas do DeepDNS são imediatamente compartilhadas com o Check Point ThreatCloudAI.
