Fast Flux: Escóndete tras el DNS

Aprovechar el servicio DNS para esconder acciones delictivas y así evitar ser descubierto es una práctica que cada vez está mas en auge por los delincuentes informáticos. Al igual que un defraudador utiliza un conjunto de empresas fantasmas y un testaferro para estafar al fisco enviando dinero a un paraíso fiscal, un ciberdelincuente puede utilizar la técnica de Fast Flux para esconder sus “servicios” ilícitos tras un conjunto de dominios de DNS, que con la ayuda de algún mulero puede igualmente obtener el retorno de la acción perpetrada.

Fast Flux es una técnica que utiliza el servicio DNS y un conjunto de equipos zombie pertenecientes a una botnet que actúan como servidores proxy inversos para esconder el tráfico ilegítimo de actividades como phishing, malware o pederastia. Para ello los delincuentes registran un dominio con datos falsos, y por supuesto con tarjeta de crédito robada, en registradores de dominio donde no se pone mucha atención a la identidad del registrador, como por ejemplo en TLDs .info o .hk. Posteriormente configuran varios registros A en el dominio, con IP pertenecientes a equipos zombie de una botnet, que de manera dinámica son sustituidos periódicamente por otros registros A, es decir otros equipos zombie, para dificultar la traza del tráfico ilegítimo. Además, para aumentar su eficiencia bajan el tiempo TTL del dominio a un par de minutos para asegurarse que los demás servidores de DNS no cachean sus nombres, y así se garantiza que las víctimas siempre van a realizar las consultas DNS al servidor raíz del dominio que alojará el servidor de C&C, web de phishing,etc.

A continuación podemos ver a la izquierda el flujo de tráfico normal de una petición web y a la derecha el flujo de tráfico de una petición web a una red Fast-Flux. Como podemos apreciar en la imagen de la derecha, el equipo cliente nunca va a saber realmente qué equipo es el que aloja realmente la web.

 

Si analizamos la configuración DNS que se presenta a continuación podremos ver que el dominio wildcard.malaga-53.com tiene asociado cinco registros A. Con lo cual, el servidor DNS devolverá las cinco IPs ante una petición DNS a ese nombre, y el sistema operativo del cliente utilizará una de ellas para acceder al recurso realizando balanceo de DNS. Si además el atacante cambia los registros A cada cinco minutos, la aleatoriedad de las conexiones y la trazabilidad de la conexión es mucho más difícil de realizar.

Si comprobamos la resolución inversa de las IPs asociadas al dominio wilcard.malaga-53.com podemos ver que se corresponde con equipos pertenecientes a líneas adsl o ppp, y que probablemente sean equipos infectados pertenecientes a una botnet.

Por otro lado, para hacer aún más complicada la trazabilidad existe el Double-Flux. Esta técnica consiste en añadir otro servidor de DNS al escenario, de tal manera que una petición al dominio afectado nos redirigirá a otro servidor de DNS aleatorio, que éste a su vez nos lleva a un equipo infectado, que hará de proxy inverso para acceder al C&C, web de phishing, etc.

 

Como podemos ver, los delincuentes a parte de delinquir son ingeniosos aprovechando y buscando nuevas técnicas de evasión y ofuscación. En fin … todos los días hay algo nuevo que aprender.

Un saludo amigos y recuerda, lo primero que te venga a la cabeza ¡escríbelo en un comentario!