domingo, 19 de octubre de 2008

Estudio sobre botnets fast-flux


En este post hablamos de un estudio sobre redes de botnets que usan técnicas de fast-flux (tamaño, para qué se usan, características para detectarlas, etc) realizado mediante técnicas de data mining sobre resoluciones DNS.

El fast-flux es una técnica que consiste en cambiar periódicamente la resolución DNS de aquellas máquinas que participan en una botnet. Se pretende ocultar cuál es el servidor que aloja un sitio web parte de un phishing, o que sirve malware, colocando una red de máquinas que harán las veces de proxy. Estas máquinas, los bots de la botnet, redirigirán la solicitud que realiza cualquiera al sitio web controlado por el atacante, a los servidores centrales de la botnet.

En Sans Diary nos presentaban hace unos días un estudio realizado por Jose Nazario (véase también su worm blog) y Thorsten Holz, sobre el comportamiento de las redes botnet. Utilizan para ello los datos recogidos por el sistema ATLAS de Arbor Networks. En el estudio, identificaron dominios DNS que pudieran corresponder a redes fast-flux mediante estas técnicas:
  • captura y análisis de spam
  • listas negras de nombres DNS y análisis de malware
  • a mano, es decir, por cualquier otro medio, como pueden ser datos presentados en informes de análisis antimalware
Una vez obtenido un posible dominio, se obtiene un listado de los registros de tipo A, NS, etc que están bajo este dominio, y en base a esos datos es evaluado según una fórmula heurística. Si cumple un determinado criterio de una lista que se nos presenta en el paper, entonces gana un punto para ser considerado un fast-flux. Algunos ejemplos de estos criterios son que los tiempos de TTL de los registros de tipo A sean menores de 15 minutos, o que se encuentren direcciones IP separadas entre sí en un rango superior a 65355.

Se presentan algunas conclusiones interesantes. La difusión del concepto "fast-flux" tiene éxito: los creadores de estas redes han de ir "más lejos" (es un decir) para conseguir un registrador de dominios con el que no haya problemas para trabajar con este tipo de redes. Se usan más dominios de alto nivel que antes, y nos indican cuál es el dominio de alto nivel ("TLD", es decir, si son .com, .net, etc) que utilizan. Otros datos interesantes presentados: cuál es el tiempo de vida medio de un dominio fast-flux (el caso de Storm fue particular), cuál es el tamaño medio, en número de máquinas comprometidas, que tiene una botnet, cuántas de esas máquinas se están usando de forma activa como parte del fast-flux, o el propósito de las redes analizadas, obtenidos relacionando los datos de este estudio con estudios de otros. (No te voy a dar yo los datos: lee el paper ;) ).

El estudio deja fuera redes double-flux (es el caso en que también los servidores DNS forman parte de una botnet).

Por cierto, echadle un vistazo a las referencias, que están muy bien, destacando el proyecto FluXOR y trabajos relacionados con la detección de redes fast-flux.

Slds!

Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...

1 comentario:

infi dijo...

Una técnica curiosa donde las haya. Habia oido hablar de las botnets y como funcionaban, pero me parece curioso como se van "pasando" los dominios unos a otros para esconderse.