Español | English
rss facebook linkedin Twitter

¿Qué es un Sinkhole?


Hablando sobre naturaleza, un sinkhole - término inglés - define un hundimiento de tierra u hoyo. En el mundo de informática, sin embargo, se denomina sinkhole a una técnica de defensa contra botnets que puede neutralizar la misma completamente, puesto que trata de controlar el punto al que se conectarán los ordenadores infectados, atrayéndolos como si fuese un agujero de verdad.


Para tratar con un ejemplo real, vamos a ver cómo está siendo “sinkholeado” el troyano Mebroot, también conocido como Sinowal/Torpig. Antes de nada, debemos mencionar que esta familia de malware no se conecta únicamente a un único panel de control, sino que utiliza un algoritmo para generar los nombres de dominio a los que se conectará. 

Peticiones realizadas desde una maquina infectada

La generación de dominios continúa hasta que uno de ellos resuelva y se compruebe su validez. Esta técnica no es novedosa, y se utiliza para que la botnet sea más difícil de destruir, a la vez que permite poder recuperar la botnet en cualquier momento registrando un dominio futuro que se sepa que va a ser generado el día X. No obstante, tiene su desventaja, y es que cualquiera que conozca o descifre el algoritmo de generación de dominios podría ir un paso por delante y registrar uno de los dominios a los que se conectarán los bots.

Como veremos a continuación, justo lo escrito arriba está pasando con la muestra que hemos analizado, y es que el servidor  que finalmente se pudo resolver dicho día envió el siguiente mensaje:

Respuesta descifrada desde del C&C

El bot en cuestión recibió el comando NOOP junto con la nota pwned, indicándole que se quedara en espera (NO OPeration) y paró de generar más dominios.

Con esto, podemos decir que el servidor malicioso ha sido reemplazado por uno controlado presuntamente por investigadores de seguridad, y los propietarios de ese servidor podrán obtener inteligencia acerca del tamaño de la botnet, las IPs de las víctimas, hasta avisar los proveedores de servicios de internet de una infección posible.

Jozsef Gegeny
S21sec ACSS

3 comentarios:

Anónimo dijo...

Hola, una cuestion sobre lo que comentas: "podemos decir que el servidor malicioso ha sido reemplazado por uno controlado presuntamente por investigadores de seguridad"

¿Y si no es controlado por investigadores de seguridad?, ¿cómo podemos saberlo? Quiero decir, si soy de un usuario y veo que mis datos se están enviando a un sitio "sinkholeado", ¿cómo puedo saber si está controlado por los buenos o por los malos o qué uso se está haciendo de esos datos?

Gracias por el artículo.
salu2

Anónimo dijo...

Hola, una cuestion sobre lo que comentas: "podemos decir que el servidor malicioso ha sido reemplazado por uno controlado presuntamente por investigadores de seguridad"

¿Y si no es controlado por investigadores de seguridad?, ¿cómo podemos saberlo? Quiero decir, si soy de un usuario y veo que mis datos se están enviando a un sitio "sinkholeado", ¿cómo puedo saber si está controlado por los buenos o por los malos o qué uso se está haciendo de esos datos?

Gracias por el artículo.
salu2

S21sec e-crime dijo...

Hola Anónimo, gracias por el comentario. Lo suyo es hacerse darse cuenta (menos o más obviamente) de que se trata un sinkhole, con esconder alguna nota en la cabecera del HTTP que viene del servidor, u otro ejemplo en el caso de sinkhole del Bankpatcher dónde se han puesto una página web informativa en el índice de la IP.

Y cuando no es tan obvio, se puede reportar un abuso al ISP de la IP sospechosa, desde donde nos podrán informar de que el servidor en cuestión no se trata un servidor malicioso.

Y cómo bien sugieres, sí existe un lado cuestionable sobre la moralidad y del uso de los datos, aunque esa parte es menos conocida, al menos para mí.

Un saludo,
Jozsef


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login