Las redes Fast-Flux se llevan utilizando desde hace tiempo para distribuir malware y phishing. El uso de Fast-Flux por parte de los criminales dificulta el poder mitigar fácilmente la amenaza en concreto.
La idea básica sobre este tipo de redes es dado un nombre de dominio
flu-project.com
Tenga asignadas varias direcciones IP
Vamos a ver un ejemplo de un dominio que no utiliza sistemas Fast-Flux, realizamos una consulta DNS para que nos devuelva todas las IP a las que resuelve un dominio en concreto.
seifreed@darkmac:~:dig flu-project.com
; <<>> DiG 9.8.1-P1 <<>> flu-project.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59428;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:;flu-project.com. IN A
;; ANSWER SECTION:flu-project.com. 890 IN A 134.0.11.133
;; Query time: 120 msec;; SERVER: 172.19.1.12#53(172.19.1.12);; WHEN: Mon Sep 17 16:15:19 2012;; MSG SIZE rcvd: 49
Como veis no hay múltiple IP
resolviendo a un dominio, además el TTL no es tan bajo como ocurre en las redes
Fast-Flux.
Realizamos una comprobación
ahora con un dominio que si que usa redes Fast-Flux
seifreed@darkmac:~:dig
datesbooking.com
; <<>>
DiG 9.8.1-P1 <<>> datesbooking.com
;; global options: +cmd
;; Got answer:
;;
->>HEADER<<- opcode: QUERY, status: NOERROR, id:
40922
;; flags: qr rd ra; QUERY: 1,
ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;datesbooking.com. IN A
;; ANSWER SECTION:
datesbooking.com. 300 IN A
222.106.31.112
datesbooking.com. 300 IN A
71.196.187.168
datesbooking.com. 300 IN A
194.90.36.187
datesbooking.com. 300 IN A
67.175.74.110
datesbooking.com. 300 IN A
186.156.6.65
;; Query time: 153 msec
;; SERVER:
87.216.1.65#53(87.216.1.65)
;; WHEN: Thu Aug 23 00:32:11
2012
;; MSG SIZE rcvd: 114
El dominio resuelve a varias
direcciones IP.
Para verlo de manera más
gráfica podemos consultar el gráfico de Robtex
En las redes Fast-Flux existen
de dos tipos, las redes Single Fast-Flux y Dobe Fast-Flux.
Single Fast-Flux
Las redes single Fast-Flux, es
la implementación más sencilla. Cuando una víctima intenta acceder a un
determinado dominio, la respuesta del DNS se corresponde con una dirección IP
de los equipos infectados, que varían continuamente, que capturarán la petición
del cliente y serán ellos quien negocien con el servidor donde se aloja el
contenido. A pesar de que en general esta técnica se aplica al tráfico HTTP,
indistintamente podría utilizarse con cualquier conexión tipo TCP o UDP.
Doble Fast-Flux
Por otro lado las redes Doble
Fast-Flux mantienen el concepto de las Single Fast-Flux pero añadiendo una capa
más de redundancia. En este tipo de implementaciones, además de variar los
registros A del DNS para que un mismo dominio resuelva direcciones IP
diferentes, también varían los registros NS correspondientes a los servidores
DNS autorizados. Por tanto, en este caso, las peticiones DNS de las víctimas
son respondidas directamente por la red Fast-Flux.
Detección de redes Fast-Flux
La detección de redes que usen
Fast-Flux es algo que se lleva haciendo desde hace tiempo, existen ya
implementaciones en IDS que ayudan a detectar este tipo de redes. Ya expusieron
como en el blog del proyecto HoneyNet
Existen también proyectos como
pffdetect que realizarán las comprobaciones necesarias para detectar dominios
que usen redes Fast-Flux
La herramienta posee las
siguientes características:
Posibilidad de procesar un
único dominio o lista de ellos
Múltiples formas de comprobar
el AS de una dirección IP, entre las que se encuentran los servicios de
Team-Cymru y la base de datos de MaxMind
Posibilidad de usar múltiples
cores
Posibilidad de ejecutarse como
aplicación de consola o importarse como módulo
Realizamos una comprobación
con la herramienta en un dominio que use Fast-Flux
seifreed@darkmac:~/tools/malware/pffdetect:python
pffdetect.py -d datesbooking.com -s 8.8.8.8 -m DNS
|----------------------------------------------------------|
|
Fast-Flux domain
detector |
|
Alejandro Nolla (z0mbiehunt3r)
|
|
Powered by Buguroo! |
|----------------------------------------------------------|
[*] Checking if
datesbooking.com is a fast-fluxed domain (could take a while depending on
domain TTL)
[!] Domain
datesbooking.com is fast-fluxed
[-] Done
La herramienta ha sido capaz
detectar si usa Fast-Flux o no. La herramienta funcionaría de la siguiente
forma:
Se quiere comprobar si el
dominio datesbooking.com usa técnicas Fast-Flux, la herramienta consulta y
almacena que direcciones IP resuelven a dicho dominio. La herramienta se espera
a que expire el TTL para que se tenga que volver a resolver dicho dominio.
Realizando estas comprobaciones hay un alto grado de acierto en saber si un
dominio usa técnica Fast-Flux.
Artículo cortesía de Marc Rivero López
3 comments :
blog.s21sec.com/2008/07/tcnicas-de-ocultacin-redes-fast-flux.html?m=1
cada día más originales...
Lo mismo pretendes que todo el contenido sea original, novedoso y exclusivo, donde se hablan cosas que no se han tratado antes en ninguna otra parte.
A mi se me ocurre que en vez de poner un enlace, podrías mandar una contribución de ese contenido que demandas, a ver que tal se te da.
Por otra parte y solo a modo informativo, comentarte que el autor (Marc) trabaja en la propia s21sec, el mismo sitio al que haces referencia.
Muchas gracias por tu comentario (muy útil).
Entonces pretendes que antes de escribir un post, se busque en cada rincon de internet para saber si ya exixte o no?... Tu si que eres original... Demasiado ORIGINAL.
Publicar un comentario