Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 30 de enero de 2009

Entendiendo las redes Fast-Flux

Las redes Fast-Flux constituyen una metodología avanzada en la propagación de amenazas que actualmente es explotada de manera activa para infectar equipos, entre tantos otros delitos. El objetivo es ocultar las actividades maliciosas a través de direcciones IP que van rotando en cuestión de segundos contra un mismo dominio, lo que impide localizarlas para poder bloquearlas al dificultar su identificación.


Cada una de estas direcciones IP, que se van asignando a los dominios, corresponden a máquinas que previamente han sido comprometidas con algún código malicioso, formando parte de una botnet, y trabajan a modo de "puente" entre el equipo que solicita determinado recurso y el servidor que aloja ese recurso. Esta metodología de operación de la red recibe el nombre de Single-Flux (flujo único).

Es decir, en un proceso normal, un equipo cliente realiza una petición (GET) al servidor quien luego responde al cliente ofreciendo el resultado; en redes single-flux, la petición original realizada por el cliente no rebota contra el servidor sino que lo hace contra la máquina zombi, y es esta quien realiza la consulta al servidor.

Existe otra metodología denominada Double-Flux (doble flujo) en el que, además de contemplar las características de single-flux, explota la resolución de nombres y los servicios de registro de nombres de dominio.


A través de una simple consulta DNS contra un dominio es posible establecer si este forma parte de una red Fast-Flux. En el siguiente ejemplo donde se observa las diferentes direcciones IP que se establecen al dominio www.lijg.ru.

;; QUESTION SECTION:
;www.lijg.ru. IN A

;; ANSWER SECTION:
www.lijg.ru. 600 IN A 24.107.209.119
www.lijg.ru. 600 IN A 24.219.191.246
www.lijg.ru. 600 IN A 65.65.208.223
www.lijg.ru. 600 IN A 65.102.56.213
www.lijg.ru. 600 IN A 67.141.208.227
www.lijg.ru. 600 IN A 68.124.161.76
www.lijg.ru. 600 IN A 69.14.27.151
www.lijg.ru. 600 IN A 70.251.45.186
www.lijg.ru. 600 IN A 71.12.89.105
www.lijg.ru. 600 IN A 71.235.251.99
www.lijg.ru. 600 IN A 75.11.10.101
www.lijg.ru. 600 IN A 75.75.104.133
www.lijg.ru. 600 IN A 97.104.40.246
www.lijg.ru. 600 IN A 173.16.99.131

;; AUTHORITY SECTION:
lijg.ru. 345600 IN NS ns5.lijg.ru.
lijg.ru. 345600 IN NS ns1.lijg.ru.
lijg.ru. 345600 IN NS ns2.lijg.ru.
lijg.ru. 345600 IN NS ns3.lijg.ru.
lijg.ru. 345600 IN NS ns4.lijg.ru.


Por otro lado, dicen que una imagen vale más que mil palabras así que... veamos que nos dice la siguiente, obtenida de SecViz y realizada por Jaime Blasco:

La representación de redes Fast-Flux a través de herramientas gráficas es una excelente alternativa ya que permite, a través de una sola vista, conocer desde el punto de vista estructural y de manera muy atractiva cómo se compone dicha red.

En este ejemplo, el gráfico muestra una serie de dominios Fast-Flux (color azul) y cada una de las zombies PCs que lo conforman (color rojo). Al realizarse la triangulación de cada uno de los dominios infectados, notamos que algunos pertenecen a varias redes FF dentro de una misma estructura de red.

Esto supone mayor ventaja para el atacante ya que dispone de un abanico mucho más extenso de equipos comprometidos que son utilizados de manera distribuida para diseminar mayor cantidad de malware, propagar mayor cantidad de spam, realizar mayor cantidad de ataques de phishing, y muchas otras actividades maliciosas y fraudulentas.

# pistus

Ver más