Notos: Sistema de Reputación Dinámico

Las plataformas AntiSpam hacen uso de sistemas de reputación desde hace años, analizando y catalogando cada servidor de correo para situar aquellos servidores que no cumplan una serie de requisitos dentro de sus listas negras de generación de Spam. Esta filosofía y forma de trabajar se ha trasladado a los sistemas de seguridad perimetral como cortafuegos, además de los sistemas de correlación de eventos como SIEM. Mediante estas listas de reputación, formadas por IPs y dominios, los equipos pueden tomar decisiones de bloqueo de tráfico ante sospechas de que una determinada web aloja malware o una IP en concreto se dedica a realizar ataques o enviar Spam.

Muchas veces nos habremos preguntado cómo los fabricantes pueden mantener y actualizar estas listas enormes de IPs y dominios clasificadas por su reputación. Lógicamente no es una tarea sencilla diseñar un sistema que realice esta clasificación de manera automática, sin embargo Manos Antonakakis y su equipo de investigación del Instituto de Georgia han diseñado un sistema de reputación dinámico llamado Notos, utilizando una base de datos pasiva de DNS alimentada por las consultas que hacemos a los servidores de DNS.

Diseño del Sistema Notos

El sistema Notos obtiene tres grupos de características de cada dominio alojado en la base de datos:

• Características basándonos en la red: Comprueba el número de IPs asociadas a un dominio y el número de dominios asociadas a una IP, también tiene en cuenta la localización geográfica y el sistema autónomo donde reside el dominio, así como también los prefijos BGP y el registrador del dominio. De esta manera puede detectar anomalías sobre una IP que tenga muchos dominios diferentes asociados de distintos registradores o incluso puede detectar dominios con comportamiento sospechoso si éste continuamente se traslada de un Sistema Autónomo a otro. 
   
• Características basándonos en la zona: Comprueba la longitud del dominio, el número de TLDs y subdominios, y el número de veces que se repite una palabra o letra. Por ejemplo, google.com, googlesyndication.com, googlewave.com, etc son dominios pertenecientes a Google que contienen la cadena de texto “google”.
  
  
• Características basándonos en evidencias: Comprueba el número de veces que un equipo infectado ha contactado con el dominio o IP analizada. Para ello utiliza honeypot y listas negras ya predefinidas.
  
  

Características del Sistema Notos

Una vez analizado el dominio, el sistema Notos envía toda esta información al motor de reputación encargado de asignar el valor de reputación al dominio. El motor de reputación se divide en dos modos:

• Modo off-line: Consiste en un proceso de entrenamiento utilizando una base de conocimiento. Para ello hace uso de dominios populares como google.com, yahoo.com, amazon.com, etc. También utiliza el Top 500 que proporciona Alexa.com y la lista blanca DNSWL, así como también dominios de Akamai, de otros proveedores de contenidos CDN y de dominios de DNS dinámicos como no-ip.com. Para este proceso de entrenamiento del motor también aprovecha las listas negras malwaredomainlist.com, malwaredomains.com, la lista de Spamhaus y Zeus Tracker.
• Modo on-line asigna un valor entre 0 y 1 de reputación al dominio analizado, utilizando el proceso de entrenamiento y el resultado de las características obtenidas sobre el dominio.
  
  

  

  Modos del motor de reputación

Según el equipo de investigación, este sistema tiene un 96,8% de acierto en la detección de dominios maliciosos. En cualquier caso estamos ante un estudio de investigación que nos ayuda a entender y conocer la inteligencia y funcionamiento de los sistemas de reputación dinámicos, que junto con Collective Intelligence Framework como el OTX de Alienvault nos mantiene un poco más seguro en la red.

Un saludo amigos y recuerda, lo primero que te venga a la cabeza ¡escríbelo en un comentario!