El actor de amenazas Detour Dog ha sido identificado como responsable de una infraestructura de ciberataque sofisticada y resiliente. El grupo está utilizando registros DNS TXT como un canal activo de Comando y Control (C2) para soportar la distribución del malware Strela Stealer, con operaciones rastreadas desde agosto de 2023.
Tácticas de DNS y Distribución de Malware
Detour Dog ha evolucionado desde ser un actor de redirección a desplegar malware directamente, utilizando capas de ofuscación para evadir la detección.
El Canal C2 a través de DNS TXT
La táctica más innovadora es el uso dual de DNS, no solo para resolución, sino como canal activo de distribución de malware:
- Consulta Maliciosa: Los sistemas comprometidos realizan consultas a registros DNS TXT en dominios controlados por el atacante.
- Entrega del Comando: Las respuestas a estas consultas contienen direcciones C2 codificadas en Base64, a menudo prefijadas con la palabra “down” (descargar).
- Ejecución: Los servidores comprometidos interpretan esta cadena para descargar el siguiente payload.
Infraestructura Escalonada
La operación utiliza una infraestructura escalonada para dificultar el análisis superficial:
- StarFish Downloader: La infraestructura aloja un downloader de primera etapa llamado StarFish, que actúa como puente entre la víctima y Strela Stealer.
- Sitios Web Legítimos Comprometidos: El malware y el downloader se alojan en sitios web legítimos que siguen funcionando con normalidad. Solo una pequeña fracción del tráfico (1 % a 9 %) se redirige maliciosamente, minimizando la sospecha y la detección.
- Distribución: Utilizan botnets como MikroTik + SystemBC (REM Proxy) y Tofsee para enviar correos de phishing que entregan el Strela Stealer, ampliando el alcance de la campaña.
Recomendaciones
- Monitoreo de Consultas DNS Anómalas
- Alertas por TXT: Configura alertas en tu infraestructura DNS y firewalls para detectar consultas a registros TXT que contengan palabras como “down” o cadenas largas de Base64 inusuales.
- Correlación: Correlaciona el tráfico DNS sospechoso con cualquier comportamiento inesperado en los servidores web o en los endpoints internos.
- Auditoría de Sitios Web y Servidores
- Buscar Scripts Inusuales: Realiza auditorías para detectar scripts sospechosos que realizan llamadas inusuales a registros DNS TXT.
- Revisión de Cambios: Revisa los cambios recientes en archivos que normalmente no se modifican con frecuencia, buscando modificaciones sutiles que inyecten la redirección.
- Restricción del Uso de DNS TXT
- Filtrado: En entornos controlados, considera filtrar o deshabilitar las respuestas de registros TXT excesivas o no esperadas en tus dominios para bloquear este canal de C2.
- Validación: Verifica que tus servidores DNS no estén respondiendo registros TXT con payloads no confiables o direcciones codificadas.
- Protección de Infraestructura de Correo
- Bloqueo de Phishing: Implementa filtros de correo rigurosos para bloquear las campañas de phishing conocidas que emplean dominios o botnets utilizados por Detour Dog.
- Auditoría SMTP: Audita la infraestructura de envío de correo (SMTP, proxies) para evitar que sea secuestrada o utilizada como eje de campañas maliciosas.
