01 diciembre 2012

Detectando dominios Fast-Flux

Las redes Fast-Flux se llevan utilizando desde hace tiempo para distribuir malware y phishing. El uso de Fast-Flux por parte de los criminales dificulta el poder mitigar fácilmente la amenaza en concreto.
La idea básica sobre este tipo de redes es dado un nombre de dominio

flu-project.com

Tenga asignadas varias direcciones IP

Vamos a ver un ejemplo de un dominio que no utiliza sistemas Fast-Flux, realizamos una consulta DNS para que nos devuelva todas las IP a las que resuelve un dominio en concreto.

seifreed@darkmac:~:dig flu-project.com
; <<>> DiG 9.8.1-P1 <<>> flu-project.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59428;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:;flu-project.com. IN A
;; ANSWER SECTION:flu-project.com. 890 IN A 134.0.11.133
;; Query time: 120 msec;; SERVER: 172.19.1.12#53(172.19.1.12);; WHEN: Mon Sep 17 16:15:19 2012;; MSG SIZE  rcvd: 49


Como veis no hay múltiple IP resolviendo a un dominio, además el TTL no es tan bajo como ocurre en las redes Fast-Flux.
Realizamos una comprobación ahora con un dominio que si que usa redes Fast-Flux


seifreed@darkmac:~:dig datesbooking.com

; &lt;&lt;&gt;&gt; DiG 9.8.1-P1 &lt;&lt;&gt;&gt; datesbooking.com
;; global options: +cmd
;; Got answer:
;; -&gt;&gt;HEADER&lt;&lt;- opcode: QUERY, status: NOERROR, id: 40922
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;datesbooking.com.  IN A

;; ANSWER SECTION:
datesbooking.com. 300 IN A 222.106.31.112
datesbooking.com. 300 IN A 71.196.187.168
datesbooking.com. 300 IN A 194.90.36.187
datesbooking.com. 300 IN A 67.175.74.110
datesbooking.com. 300 IN A 186.156.6.65

;; Query time: 153 msec
;; SERVER: 87.216.1.65#53(87.216.1.65)
;; WHEN: Thu Aug 23 00:32:11 2012
;; MSG SIZE  rcvd: 114

El dominio resuelve a varias direcciones IP.

Para verlo de manera más gráfica podemos consultar el gráfico de Robtex



En las redes Fast-Flux existen de dos tipos, las redes Single Fast-Flux y Dobe Fast-Flux.

Single Fast-Flux

Las redes single Fast-Flux, es la implementación más sencilla. Cuando una víctima intenta acceder a un determinado dominio, la respuesta del DNS se corresponde con una dirección IP de los equipos infectados, que varían continuamente, que capturarán la petición del cliente y serán ellos quien negocien con el servidor donde se aloja el contenido. A pesar de que en general esta técnica se aplica al tráfico HTTP, indistintamente podría utilizarse con cualquier conexión tipo TCP o UDP. 

Doble Fast-Flux

Por otro lado las redes Doble Fast-Flux mantienen el concepto de las Single Fast-Flux pero añadiendo una capa más de redundancia. En este tipo de implementaciones, además de variar los registros A del DNS para que un mismo dominio resuelva direcciones IP diferentes, también varían los registros NS correspondientes a los servidores DNS autorizados. Por tanto, en este caso, las peticiones DNS de las víctimas son respondidas directamente por la red Fast-Flux.

Detección de redes Fast-Flux

La detección de redes que usen Fast-Flux es algo que se lleva haciendo desde hace tiempo, existen ya implementaciones en IDS que ayudan a detectar este tipo de redes. Ya expusieron como en el blog del proyecto HoneyNet

Existen también proyectos como pffdetect que realizarán las comprobaciones necesarias para detectar dominios que usen redes Fast-Flux
La herramienta posee las siguientes características:

Posibilidad de procesar un único dominio o lista de ellos
Múltiples formas de comprobar el AS de una dirección IP, entre las que se encuentran los servicios de Team-Cymru y la base de datos de MaxMind
Posibilidad de usar múltiples cores
Posibilidad de ejecutarse como aplicación de consola o importarse como módulo

Realizamos una comprobación con la herramienta en un dominio que use Fast-Flux


seifreed@darkmac:~/tools/malware/pffdetect:python pffdetect.py -d datesbooking.com -s 8.8.8.8 -m DNS

        |----------------------------------------------------------|
        |                  Fast-Flux domain detector               |
        |               Alejandro Nolla (z0mbiehunt3r)             |
        |                                      Powered by Buguroo! |
        |----------------------------------------------------------|

[*] Checking if datesbooking.com is a fast-fluxed domain (could take a while depending on domain TTL)
   [!] Domain datesbooking.com is fast-fluxed
[-] Done

La herramienta ha sido capaz detectar si usa Fast-Flux o no. La herramienta funcionaría de la siguiente forma:

Se quiere comprobar si el dominio datesbooking.com usa técnicas Fast-Flux, la herramienta consulta y almacena que direcciones IP resuelven a dicho dominio. La herramienta se espera a que expire el TTL para que se tenga que volver a resolver dicho dominio. Realizando estas comprobaciones hay un alto grado de acierto en saber si un dominio usa técnica Fast-Flux.
Podéis encontrar la herramienta en Code Google

Artículo cortesía de Marc Rivero López

3 comments :

chipirim dijo...

blog.s21sec.com/2008/07/tcnicas-de-ocultacin-redes-fast-flux.html?m=1

cada día más originales...

Alejandro Ramos dijo...

Lo mismo pretendes que todo el contenido sea original, novedoso y exclusivo, donde se hablan cosas que no se han tratado antes en ninguna otra parte.


A mi se me ocurre que en vez de poner un enlace, podrías mandar una contribución de ese contenido que demandas, a ver que tal se te da.


Por otra parte y solo a modo informativo, comentarte que el autor (Marc) trabaja en la propia s21sec, el mismo sitio al que haces referencia.


Muchas gracias por tu comentario (muy útil).

will dijo...

Entonces pretendes que antes de escribir un post, se busque en cada rincon de internet para saber si ya exixte o no?... Tu si que eres original... Demasiado ORIGINAL.