Abstract and slides of the talk I presented at the Montevideo FIRST Technical Colloquium, November 2008. Spanish only yet (sorry!)
Nuevas Armas de Viejos Enemigos: Fast Flux Service Networks
Carlos M. Martínez (carlosm@fing.edu.uy)
ANTEL – Facultad de Ingeniería
1. Abstract
Los sistemas informáticos de diferentes clases han sido siempre víctimas de diferentes tipos de abusos y compromisos de seguridad. Las motivaciones de los ataques y los atacantes han ido cambiando con el tiempo y el abuso de sistemas ha pasando de ser una tarea llevada adelante por individuos aislados o en pequeños grupos en busca del reconocimiento de sus pares a ser una industria de grandes proporciones en busca de réditos económicos.
El foco de los atacantes ha pasado de buscar vulnerabilidades de bajo nivel a nivel de red o de sistema operativo (buffer overflows y similares) a buscar formas de explotar sistemas en capa de aplicación y mecanismos de fraude que muchas veces no pasan por abusar directamente del computador de la víctima si no de su confianza e ingenuidad.
Uno de los fraudes más populares es el conocido como Phishing. En el, un usuario excesivamente confiado es engañado para ingresar algún tipo de información sensible como ser passwords y números de tarjeta de crédito o de cuentas bancarias en una página web diseñada para verse exactamente igual a la de una institución bancaria o emisora de tarjetas de crédito. Esta información es colectada y luego usada por el directamente por el defraudador o revendida en Internet.
Para proporcionar un cierto grado de anonimato, estas páginas fraudulentas no son alojadas en sistemas propiedad del defraudador si no en servidores web de terceros que han sido atacados y comprometidos. Sin embargo, esto hace que una vez denunciado el fraude, sea muy sencillo para los administradores de red y de sistemas bloquear el acceso a las páginas de phishing. Además, el análisis forense de un servidor web comprometido puede proporcionar logs y otras pistas que pueden permitir identificar la fuente del ataque.
La proliferación en Internet de conjuntos de sistemas comprometidos controlados por una entidad central o botnets [1] proporcionan una plataforma ideal para alojar páginas web fraudulentas. Por un lado, las botnets están compuestas por computadores hogareños, lejos del alcance el análisis forense, lo cual agrega un nivel adicional de anonimato y por otro lado por su naturaleza distribuida, las botnets pueden alojar contenido web con alta disponibilidad.
Es en este contexto que se ha venido observando la aparición de un nuevo fenómeno conocido como Fast Flux. En el, los atacantes aplican técnicas de gestión de resolución de nombres (DNS) para dar alta disponibilidad a los sitios web fraudulentos alojados en botnets.
Un dominio en single fast flux combina tiempos de vida (TTL) cortos con frecuentes cambios y rotación a nivel de los registros “A” de DNS entregados como respuesta a consultas. De esta forma, si un agente de la botnet es eliminado por los administradores de red otro toma su lugar, aunque si el servidor DNS del dominio es eliminado toda la red es silenciada. El double fast flux agrega a lo anteior la rotación de los registros “NS” también con TTLs pequeños, agregando además alta disponibilidad a la resolución de nombres.
Este fenómeno es relativamente nuevo ([2], [5]) y es poco el trabajo que se ha realizado sobre el mismo. Entre otros aspectos, es necesario contar con métricas que permitan detectar redes en fast flux así como formas de estimar su tamaño y posibles mecanismos para bloquear el acceso a los contenidos alojados en las mismas.
El presente trabajo introduce conceptos básicos de DNS y botnets para luego presentar el fast flux mencionando los mecanismos de detección propuestos hasta el momento por la comunidad.
2. Referencias
[1] Ianelli, N., Hackworth A. “Botnets as a Vehicle for Online Crime”, International Journal of Forensic Computer Science: http://www.ijofcs.org/webjournal/index.php/ijofcs/article/viewFile/11/11
[2] Holz T., Gorecki C., Rieck K. and Freiling F. C. “Measuring and Detecting Fast-Flux Service Networks”:
[3] Know Your Enemy: Fast Flux Service Networks: http://www.honeynet.org/papers/ff/fast-flux.html
[4] SSAC Advisory 025: SSAC Advisory on Fast Flux Hosting and DNS: http://www.icann.org/en/committees/security/sac025.pdf
[5] Nazario J., Holz T. “As the Net Churns: Fast Flux Service Networks Observations”; MALWARE’08: http://honeyblog.org/junkyard/paper/fastflux-malware08.pdf