Buscar este blog

domingo, 2 de diciembre de 2012

Detectando dominios Fast-Flux

El tipo de redes Fast-Flux se utilizan desde hace tiempo para distribuir malware y phishing, haciéndo así su dificultad para descubrir las amenazas.
Ejemplo práctico:
Dado un nombre de dominio flu-project.com, tenga asignadas varias direcciones IP.
1. Dominio que no utiliza sistemas Fast-Flux, realizamos una consulta DNS para que nos devuelva todas las IP a las que resuelve un dominio en concreto.
seifreed@darkmac:~:dig flu-project.com
; <<>> DiG 9.8.1-P1 <<>> flu-project.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59428;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:;flu-project.com. IN A
;; ANSWER SECTION:flu-project.com. 890 IN A 134.0.11.133
;; Query time: 120 msec;; SERVER: 172.19.1.12#53(172.19.1.12);; WHEN: Mon Sep 17 16:15:19 2012;; MSG SIZE  rcvd: 49
Como veis no hay múltiple IP resolviendo a un dominio, además el TTL no es tan bajo como ocurre en las redes Fast-Flux.
2. Dominio que si que usa redes Fast-Flux
seifreed@darkmac:~:dig datesbooking.com

; &lt;&lt;&gt;&gt; DiG 9.8.1-P1 &lt;&lt;&gt;&gt; datesbooking.com
;; global options: +cmd
;; Got answer:
;; -&gt;&gt;HEADER&lt;&lt;- opcode: QUERY, status: NOERROR, id: 40922
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;datesbooking.com.  IN A

;; ANSWER SECTION:
datesbooking.com. 300 IN A 222.106.31.112
datesbooking.com. 300 IN A 71.196.187.168
datesbooking.com. 300 IN A 194.90.36.187
datesbooking.com. 300 IN A 67.175.74.110
datesbooking.com. 300 IN A 186.156.6.65

;; Query time: 153 msec
;; SERVER: 87.216.1.65#53(87.216.1.65)
;; WHEN: Thu Aug 23 00:32:11 2012
;; MSG SIZE  rcvd: 114
El dominio resuelve a varias direcciones IP.
Para verlo de manera más gráfica podemos consultar el gráfico de Robtex

En las redes Fast-Flux existen de dos tipos, las redes Single Fast-Flux y Dobe Fast-Flux.
  • Single Fast-Flux: Las redes single Fast-Flux, es la implementación más sencilla. Cuando una víctima intenta acceder a un determinado dominio, la respuesta del DNS se corresponde con una dirección IP de los equipos infectados, que varían continuamente, que capturarán la petición del cliente y serán ellos quien negocien con el servidor donde se aloja el contenido. A pesar de que en general esta técnica se aplica al tráfico HTTP, indistintamente podría utilizarse con cualquier conexión tipo TCP o UDP. 
  • Doble Fast-Flux: Por otro lado las redes Doble Fast-Flux mantienen el concepto de las Single Fast-Flux pero añadiendo una capa más de redundancia. En este tipo de implementaciones, además de variar los registros A del DNS para que un mismo dominio resuelva direcciones IP diferentes, también varían los registros NS correspondientes a los servidores DNS autorizados. Por tanto, en este caso, las peticiones DNS de las víctimas son respondidas directamente por la red Fast-Flux.
Detección de redes Fast-Flux
La detección de redes que usen Fast-Flux es algo que se lleva haciendo desde hace tiempo, existen ya implementaciones en IDS que ayudan a detectar este tipo de redes. Ya expusieron como en el blog del proyecto HoneyNet
Existen también proyectos como pffdetect que realizarán las comprobaciones necesarias para detectar dominios que usen redes Fast-Flux
La herramienta posee las siguientes características:

Posibilidad de procesar un único dominio o lista de ellos
Múltiples formas de comprobar el AS de una dirección IP, entre las que se encuentran los servicios de Team-Cymru y la base de datos de MaxMind
Posibilidad de usar múltiples cores
Posibilidad de ejecutarse como aplicación de consola o importarse como módulo
Realizamos una comprobación con la herramienta en un dominio que use Fast-Flux
seifreed@darkmac:~/tools/malware/pffdetect:python pffdetect.py -d datesbooking.com -s 8.8.8.8 -m DNS

        |----------------------------------------------------------|
        |                  Fast-Flux domain detector               |
        |               Alejandro Nolla (z0mbiehunt3r)             |
        |                                      Powered by Buguroo! |
        |----------------------------------------------------------|

[*] Checking if datesbooking.com is a fast-fluxed domain (could take a while depending on domain TTL)
   [!] Domain datesbooking.com is fast-fluxed
[-] Done
La herramienta ha sido capaz detectar si usa Fast-Flux o no. La herramienta funcionaría de la siguiente forma:
Se quiere comprobar si el dominio datesbooking.com usa técnicas Fast-Flux, la herramienta consulta y almacena que direcciones IP resuelven a dicho dominio. La herramienta se espera a que expire el TTL para que se tenga que volver a resolver dicho dominio. Realizando estas comprobaciones hay un alto grado de acierto en saber si un dominio usa técnica Fast-Flux.
Podéis encontrar la herramienta en Code Google

Fuente: Securitybydefault
Tags: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)