Español | English
rss facebook linkedin Twitter

Técnicas de ocultación: Redes Fast-Flux

Fast-Flux es un concepto que ya ha aparecido en anteriores posts y cada vez se escucha mas en entornos de seguridad informática, más concretamente relacionado con delitos informáticos.

Básicamente las redes Fast-Flux son redes formadas por equipos comprometidos a los que apuntan los registros DNS de un determinado dominio y actúan como proxy entre los clientes y los servidores donde se almacena el contenido.

El objetivo de estas redes es la asignación de múltiples (cientos incluso miles) de direcciones IPs a un determinado dominio. Estas direcciones IPs van intercambiándose continuamente mediante la asignación de un TTL (Time-to-Live) muy corto al registro DNS (RR) del dominio. La rotación entre las direcciones IP, puede venir dada por algoritmos sencillo como Round-Robin o por implementaciones mas complejas en las que intervienen parámetros como el ancho de banda, uso de red, saltos entre puntos finales etc.

Dentro de estas redes, encontramos dos tipos, single-flux y double-flux.

Las redes Single-flux, es la implementación más sencilla. Cuando una víctima intenta acceder a un determinado dominio, la respuesta del DNS se corresponde con una dirección IP de los equipos infectados, que varían continuamente, que capturarán la petición del cliente y serán ellos quien negocien con el servidor donde se aloja el contenido. A pesar de que en general esta técnica se aplica al tráfico HTTP, indistintamente podría utilizarse con cualquier conexión tipo TCP o UDP.





Por otro lado las redes Double-flux mantienen el concepto de las Single-flux pero añadiendo una capa más de redundancia. En este tipo de implementaciones, además de variar los registros A del DNS para que un mismo dominio resuelva direcciones IP diferentes, también varían los registros NS correspondientes a los servidores DNS autorizados. Por tanto, en este caso, las peticiones DNS de las víctimas son respondidas directamente por la red Fast-Flux.





¿Cuales son las ventajas que obtienen los atacantes, mediante este tipo de arquitecturas?

- Simplicidad. Los atacantes necesitaran menos infraestructura, además de ahorrar tiempo en mantenimiento, ya que antes sus servidores centrales estaban en primera linea y eran fácilmente identificables, con lo que necesitaban grandes recursos si querían perdurar.

- Protección ante investigaciones. Al existir una o varias capas mas de conexión, es difícil rastrear las huellas y llegar a los servidores centrales. Además de que habitualmente los equipos infectados se encuentran repartidos por multitud de países con jurisprudencias diferentes y configurados con las auditorías desactivadas para no dejar evidencias.

- Extensión de la vida de la estafa. El dinamismo de la red, unido a las diferentes capas de conexionado tras las que se ocultan los servidores centrales donde se aloja el contenido, hacen que todo el proceso de identificación y corte del servicio sea mucho mas costoso y por tanto mucho más largo.

Para comprobar que este tipo de técnicas es muy habitual, rebuscando en un par de mensajes en la carpeta de Spam me he encontrado con el siguiente dominio "XXXXX.ncspan.com.cn", el cual en un intervalo de apenas 5 minutos, las respuestas DNS han sido las siguientes:


Respuesta 1:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28700
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;XXXXX.ncspan.com.cn. IN A

;; ANSWER SECTION:
XXXXX.ncspan.com.cn. 180 IN CNAME ncspan.com.cn.
ncspan.com.cn. 180 IN A 98.215.104.X
ncspan.com.cn. 180 IN A 190.188.149.X
ncspan.com.cn. 180 IN A 212.8.35.X
ncspan.com.cn. 180 IN A 24.31.138.X


Respuesta 2:



;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28700
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;XXXXX.ncspan.com.cn. IN A

;; ANSWER SECTION:
XXXXX.ncspan.com.cn. 176 IN CNAME ncspan.com.cn.
ncspan.com.cn. 176 IN A 125.178.242.X
ncspan.com.cn. 176 IN A 62.201.79.X
ncspan.com.cn. 176 IN A 82.114.222.X
ncspan.com.cn. 176 IN A 82.119.135.X
ncspan.com.cn. 176 IN A 89.133.54.X
ncspan.com.cn. 176 IN A 89.156.145.X



Como se puede apreciar, el TTL asignado es muy pequeño (180 segundos) y las respuestas van variando una vez caducado el tiempo de vida. Además todas la mayoría de las direcciones IP se corresponde con líneas ADSL de ISPs.

Por último y a modo de test, ¿A qué tipo de red Fast-Flux se corresponde el ejemplo?

Jonathan Barajas

1 comentario:

Anónimo dijo...

J: Hace tiempo que hablamos en un post de la técnica de ocultación fastflux, pero ¿cómo funciona realmente patxi?
P: No tengo ni puta idea joni, mírate el enlace http://www.honeynet.org/papers/ff/fast-flux.html y haz un resumen a doble espacio, puedes copiar las imágenes tal cual.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login