Entendiendo Fast Flux,

Cuando te dedicas al análisis de malware, es obligatorio conocer el sistema DGA, (Algoritmo de Generación de Dominios) y Fast Flux y los medios que existen como Phoenix o Pleiades desarrollado por el Instituto de Tecnología de Georgia para poder detectarlos, basado en el tráfico DNS. Pero… ¿qué es Fast Flux y cómo funciona?

Entendiendo el sistema Fast Flux.

Para todos los ciberdelicuentes es de vital importancia poder esconder sus fechorias.
El la vida real los delincuentes intentan defraduar a la Hacienda pública mediante complejos entramados de empresas fantasmas. Con el fin de evadir impuestos. La solución, enviar el dinero a empresas S.A. en paraísos fiscales.

Los ciberdelincuentes utilizan la técnica de Fast Flux con el fin de «esconder sus servicios» ilicitos mediante un conjunto de dominios DNS. Esta técnica fue vista por primera vez en 2007 en Storm worm botnet. Cuando todos pensaban que el sistema de reputación de IPs y dominios podría acabar con la ocultación de los C&C, los malos volvieron a mostrar ingenio y un profundo dominio del protocolo DNS.

Fast Flux es una técnica que utiliza el servicio DNS y un conjunto de equipos zombie perteneciente a una botnet que actúan como servidores proxy inversos para esconder el tráfico ilegítimo de actividades oscuras como puede ser phising, malware, pederastia, venta de armas, venta de drogas, etc…

¿Cómo funciona?

Primero: El delincuente registra un dominio con datos falsos, a cuenta de alguna víctima de carding.

Segundo: Configura varios registros tipo A, pertenecientes a IP de equipos zombies de una botnet.

Tercero: Los registros de tipo A, se van relevando de forma dinámica, por otras IP de equipos zombies.
La idea es dificultar la traza del tráfico ilegítimo.

Cuarto: Bajan el tiempo TTL del dominio a un par de minutos para asegurarse que los otros servidores DNS no lleguen a cachear el dominio, obligando siempre a consultar al DNS raiz del dominio que alojará al C&C.

En el siguiente esquema, se compara una resolución de DNS normal contra una de Fast-Flux

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

En una consulta normal de DNS, por ejemplo la de Dolbuck

Obtendremos los registros de dorvack, si tuviera 10 registros DNS, nos devolvería los 10 registros.

Si se hiciera Fast Flux con este dominio, comprobando la resolución inversa de la IP asociada al dominio dorvack.net, veríamos un montón de IPS del tipo Jazztel, movistar, y otras compañias de ADSL por ejemplo, síntoma de que estaría apuntando a ordenadores zombies.

Aún así este esquema es muy sencillo, y aunque dificulte a los investigadores, podríamos llegar a dar con el C&C, por eso existe el Double-Flux.

Así que si queremos complicarlo más, existe el Double-Flux.

Esta técnica consiste en añadir un segundo servidor DNS aleatorio que éste a su vez a otro equipo infectado que hará de proxy inverso para acceder al C&C, web de control de malwares, botnets, etc…

Double Flux

 

 

 

 

 

 

 

 

Esto complica bastante la forma de saber en dónde se encuentra el C&C y darle de baja. Desde que me metí en el mundo del malware se ven maravillas de la ingeniería tanto a nivel de programación como en sistemas. Es un mundo muy dinámico en donde continuamente se van buscando nuevas técnicas de ofuscación y técnicas de evasión para delinquir el máximo tiempo posible.

Recomiendo la lectura de Wikipedia: https://en.wikipedia.org/wiki/Fast_flux

Sobre todo los siguientes enlaces:

http://www.removingmalware.org/fast-flux-dns-how-online-criminals-stay-hidden/

http://atlas.arbor.net/summary/fastflux (se actualiza a tiempo real)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *