2. ¿Este quién es?
Miquel Tur
Estudiante del Grado en Ingeniería Informática
Especialización en Tecnologías de la Información (TI)
Sistemas Operativos
Redes
Finalizando el TFG en la empresa BDigital.
Proyecto relacionado con la seguridad
de los dispositivos móviles.
Análisis del tráfico red que
producen para detectar
dispositivos infectados.
3. ¿Qué nos va a contar?
Conocimientos previos
¿Por qué investigo las redes Fast Flux?
¿Qué son las redes Fast Flux?
¿Para qué sirven?
Ventajas que obtienen los atacantes
Tipos de redes Fast Flux
¿Cómo detectarlas?
Ejemplos
4.
Conocimientos previos
¿Por qué investigo las redes Fast Flux?
¿Qué son las redes Fast Flux?
¿Para qué sirven?
Ventajas que obtienen los atacantes
Tipos de redes Fast Flux
¿Cómo detectarlas?
Ejemplos
5. Conocimientos previos
DNS (Domain Name System)
Sistema de nombres de dominio.
Principal función:
Traducir (resolver) nombres inteligibles para las personas en
identificadores binarios asociados con los equipos conectados a la
red.
Puertos 53/UDP 53/TCP
3 componentes:
Cliente
Servidor
Zona autoridad
Cada zona de autoridad abarca al menos un dominio y posiblemente
sus subdominios, si estos últimos no son delegados a otras zonas de
autoridad.
10. DNS - Recursiva
El servidor hará lo posible para devolver la
respuesta final al cliente.
Si el servidor tiene la respuesta final, la devuelve.
Si no tiene la respuesta final, él mismo pregunta al nivel
de autoridad inferior por la respuesta.
Puede suceder que dentro de una consulta recursiva
haya varias consultas iterativas.
No todos los nameservers tienen que soportar
búsquedas recursivas.
La carga de la consulta recae sobre el servidor.
12. DNS - Iterativa
El servidor DNS responde al cliente en función de
su propio conocimiento específico acerca del
espacio de nombres, sin tener en cuenta los datos
de los nombres que se están consultando.
La carga de la consulta recae sobre el cliente.
Se da cuando:
El cliente solicita el uso de la recursividad, pero ésta se
encuentra deshabilitada en el servidor DNS.
El cliente no solicita el uso de la recursividad cuando
consulta el servidor DNS.
14.
Conocimientos previos
¿Por qué investigo las redes Fast Flux?
¿Qué son las redes Fast Flux?
¿Para qué sirven?
Ventajas que obtienen los atacantes
Tipos de redes Fast Flux
¿Cómo detectarlas?
Ejemplos
15. ¿Por qué investigo las redes Fast Flux?
En el Proyecto me las he encontrado.
He aprendido a detectarlas
Son interesantes.
Usadas para ocultar el propio servidor y evitar
bloqueos al realizar fraudes en la red.
16.
Conocimientos previos
¿Por qué investigo las redes Fast Flux?
¿Qué son las redes Fast Flux?
¿Para qué sirven?
Ventajas que obtienen los atacantes
Tipos de redes Fast Flux
¿Cómo detectarlas?
Ejemplos
17. ¿Qué son las redes Fast Flux?
Las redes Fast Flux:
Dado un nombre de dominio, por ejemplo, “ffdomain.com”, que
éste tenga varias direcciones IP asignadas.
Estas IP serán de dispositivos comprometidos que servirán de
enlace entre el cliente y el servidor que almacena el contenido
malicioso.
Se irán devolviendo IP diferentes cuando se hagan peticiones
DNS.
Devolverá 1 o más direcciones.
Elección de IPs:
Round-Robin
Otros algoritmos donde intervengan parámetros como:
Ancho de banda
Uso de red
Saltos entre puntos finales
Etc.
Tendrán TTL (Time To Live) bajos para que se cambien
rápidamente y se vayan alternando.
19.
Conocimientos previos
¿Por qué investigo las redes Fast Flux?
¿Qué son las redes Fast Flux?
¿Para qué sirven?
Ventajas que obtienen los atacantes
Tipos de redes Fast Flux
¿Cómo detectarlas?
Ejemplos
20. ¿Para qué sirven?
Ocultar el Host central.
Evitar que se bloqueen las IP del
dominio.
¿Por qué nos interesa lo anterior?
Cometer Fraude:
Propagación de spam
Ataques de phishing
Diseminar malware
…
22.
Conocimientos previos
¿Por qué investigo las redes Fast Flux?
¿Qué son las redes Fast Flux?
¿Para qué sirven?
Ventajas que obtienen los atacantes
Tipos de redes Fast Flux
¿Cómo detectarlas?
Ejemplos
23. Ventajas que obtienen los atacantes
Simplicidad.
Menos infraestructura.
Ahorro en tiempo de mantenimiento.
Protección ante investigaciones.
Una o varias capas entre la víctima y el host central.
Dificulta el rastreado de huellas y llegar al host central.
Hosts repartidos por el mundo.
Jurisprudencias diferentes.
Auditorias desactivadas.
No deja evidencias.
Expansión de la vida de la estafa.
Dinamismo de la red + diferentes capas de conexión
Dificulta y retrasa el proceso de identificación y corte del servicio.
24.
Conocimientos previos
¿Por qué investigo las redes Fast Flux?
¿Qué son las redes Fast Flux?
¿Para qué sirven?
Ventajas que obtienen los atacantes
Tipos de redes Fast Flux
¿Cómo detectarlas?
Ejemplos
25. Tipos de Redes Fast Flux
Single
Fast-Flux
Double
Fast-Flux
26. Single Fast-Flux
La implementación sencilla.
¿Cómo funciona?
La víctima intenta acceder a un dominio.
La respuesta DNS se corresponde a una o varias direcciones IP
de equipos infectados.
Las IP varían constantemente.
Los equipos actúan como proxy entre la victima y el servidor
central.
Normalmente se aplica a tráfico HTTP.
Se puede aplicar a cualquier otro tipo de conexión.
TCP
UDP
28. Double Fast-Flux
El mismo concepto.
Añadimos una capa más de redundancia.
Varían los registros NS correspondientes a los
servidores DNS autorizados.
Las peticiones DNS de la víctima son respondidas
directamente por la red Fast-Flux.
30.
Conocimientos previos
¿Por qué investigo las redes Fast Flux?
¿Qué son las redes Fast Flux?
¿Para qué sirven?
Ventajas que obtienen los atacantes
Tipos de redes Fast Flux
¿Cómo detectarlas?
Ejemplos
31. ¿Cómo detectarlas? – Passive DNS
Montamos un Passive DNS
Monitoreo y
almacenamiento del tráfico
DNS.
Usaremos 3 Tablas:
Dominios consultados
ID (identificador)
Nombre del domino
Registros A (IP) totales devueltos.
Registros NS totales devueltos.
Registros A por dominio
ID del dominio
IP
Fecha de la última vez que se ha devuelto esa IP
El AS (Autonomous System) a la que pertenece la
IP
Registros NS por dominio
ID del dominio
Nombre del servidor de nombres
devuelto
Fecha de la última vez que se ha
devuelto ese NS
Lo encontramos con MaxMind.
El país en el que está el host de la IP.
El rango de la IP (IP/16)
También podemos guardar el TTL.
32. ¿Cómo detectarlas? – Primeros indicios
1.
Buscamos dominios que tengan más IP devueltas que
las IP que devuelve en cada consulta.
2.
Aplicamos fórmula matemática*:
1.32*nA + 18.54*nASN + 0*nNS > b
with b = 142.38
3.
nA = número total de registros A
nASN = número total de AS distintos
nNS = número total de registros NS
Si la fórmula nos da un número superior a 142.38, ya
tenemos los primeros indicios de que se trata de una
red FastFlux.
* Fórmula extraída del paper “Measuring and Detecting Fast-Flux Service Networks”
http://pi1.informatik.uni-mannheim.de/filepool/publications/fast-flux-ndss08.pdf
33. ¿Cómo detectarlas? – Diferencias con CDNs
Los dominios obtenidos hasta ahora pueden ser
redes FastFlux o CDNs (Content Distribution
Network).
¿Cómo distinguirlas?
CDNs:
Suelen distribuirse por un par de países (o uno).
Suelen tener pocos rangos de IP.
Redes FastFlux
Al estar compuesta por ordenadores infectados, estos:
Están distribuidos de forma aleatoria por todo el mundo (muchos
países)
Al ser las IP aleatorias, hay muchos rangos de IP.
34. ¿Cómo detectarlas? - Ya la tenemos
Hay que seleccionar aquellas que:
Sus IP pertenezcan a hosts distribuidos por muchos
países
Al mirar la IP/16 (El rango) haya muchas.
Un análisis propio me dio como resultados:
Más de 10 países
Más de 10 rangos
* No es 100% seguro.
Alta probabilidad de éxito
35. ¿Cómo detectarlas? – Solución Rápida
Manera rápida:
Proyectos que ya existen como pffdetect
https://code.google.com/p/pffdetect/
Posibilidad de procesar un único dominio o lista de ellos.
Múltiples formas de comprobar el AS de una dirección IP
Team-Cymru
MaxMind
Posibilidad de usar múltiples cores
Posibilidad de ejecutarse como aplicación de consola o importarse
como módulo
Calcula las probabilidades de que un dominio utilice técnicas de
Fast-Flux.
36.
Conocimientos previos
¿Por qué investigo las redes Fast Flux?
¿Qué son las redes Fast Flux?
¿Para qué sirven?
Ventajas que obtienen los atacantes
Tipos de redes Fast Flux
¿Cómo detectarlas?
Ejemplos