Se llama DNS Fluxing a una serie de actividades destinadas a ocultar la ubicación real de determinados recursos dentro de una red.[1]​ Consiste en cambiar registros DNS con una frecuencia extrema[2]​ y reducir mucho el tiempo TTL del dominio para asegurarse que los otros servidores DNS no lleguen a cachear el dominio, obligando siempre a consultar el DNS raíz del dominio.[3]

Es usado habitualmente en ciberataques para mejorar la disponibilidad y la resistencia a fallos. En estos casos el recurso oculto es un servidor que entrega malware, un sitio web de phishing o un servidor de comando y control de una botnet.[1]

Hay dos posibles formas de hacer DNS Fluxing: Fast Flux, también llamado IP Flux, y Domain Flux.[4]

Fast Flux

editar

Fast Flux o IP Flux consiste en el constante cambio de dirección IP asociada a un nombres de dominio con el fin de dificultar la localización del ataque. Las Botnet abusan de esta capacidad de cambiar la dirección IP asociada a un dominio vinculando varias direcciones IP y cambiando rápidamente las direcciones vinculadas.[4]

Habitualmente Fast Flux se combina con técnicas de Blind Proxy Redirection,[4]​ de forma que las direcciones IP pertenecen a hosts comprometidos (bots), que se conocen como agentes fast-flux, que actúan como proxies inversos formando un servicio de red Fast-Flux (FFSN, del inglés Fast-Flux Service Network) que reenvían solicitudes del cliente al servidor C&C y reenvían las respuestas del servidor C&C al cliente. También se pueden usar varios niveles de indirección. La red Fast-Flux garantiza que un cliente víctima solo se conectará a agentes de flujo rápido, pero nunca al servidor real de C&C. De esta forma se evade la detección de servidores C&C y las listas negras basadas en IP.[5]

Hay tres tipos de Fast Flux:[4][5][6]

  • Single-flux. Se caracteriza por tener varias (cientos o incluso miles) direcciones IP asociadas a un nombre de dominio. Estas direcciones IP son registradas y desregistradas rápidamente - usando una combinación de planificación Round-robin y valores de tiempo de vida (Time-to-live, TTL) muy cortos - contra un registro de DNS particular. Los cambios aplican a registros A y AAAA. El servidor de DNS del dominio está alojado en un servidor fijo.
  • Name Server Flux, o simplemente NS flux, consiste en cambiar frecuentemente la dirección IP de registros de pegamento del DNS (registros A o AAAA que definen IPs donde se hacen las búsquedas de dominio apuntados por registro NS). Es decir, se cambian frecuente las direcciones IP de los servidores de nombre DNS.
  • Double-flux. Consiste en hacer a la vez Single-flux y NS fluxing. En este caso tanto las direcciones asociadas al nombre de dominio como el servidor de DNS del dominio son agentes fast-flux.

Domain Flux

editar

Es el inverso del IP flux y consiste en el constante cambio y la asignación de múltiples dominios a una sola dirección IP. Para usar esta técnica es frecuente el uso de:[4]

  • Dominios con wildcards. Por ejemplo, se puede hacer que todos los dominios de la forma *.dominio.com apunten a la misma dirección IP. Esto se puede aprovechar para que el contenido aleatorio que aparece en el símbolo comodín (por ejemplo, 'asdkjlkwer.dominio.com') sirva para identificar de manera única a una víctima y así poder identificarla.
  • algoritmos de generación de dominio o (DGA). Son algoritmos que generan aleatoriamente nombres de dominio seudoaleatorios a partir de una semilla. Es habitual el uso de estos algoritmos en malware que se conectan a servidor C&C. El atacante selecciona una semilla e instala un malware con la misma. Como el atacante conoce la semilla, es capaz de predecir los dominios que se generarán, por lo que se anticipa y genera de forma aleatoria alguno de ellos, lo activa, espera a conectar con algunos nodos y los desactiva (des-registra) y vuelta a empezar. Esto dificulta la labor de administradores e investigadores de seguridad de bloquear accesos al servidor C&C para anular una botnet. Por ejemplo, los sistemas de detección basados en listas negras, listas de reputación y filtros web pueden ser evadidos sin problemas ya que, pasado un tiempo, el servidor C&C tendrá otro dominio y otra IP, y por tanto se permitirá el acceso. Por eso cuando se encuentra una muestra es muy importante aplicar ingeniería inversa y encontrar la semilla. Esta forma de elusión fue popularizado por los malware Conficker y es utilizado por el malware Kraken, Locky, Murofet, CryptoLocker y Torpig. Cada día es una técnica más habitual[7][8]

Referencias

editar
  1. a b Detecting Algorithmically Generated Domains Using Data Visualization and N-Grams Methods Archivado el 8 de mayo de 2019 en Wayback Machine.. Tianyu Wang y Li-Chiou Chen. Seidenberg School of CSIS, Pace University, Pleasantville, New York. Proceedings of Student-Faculty Research Day, CSIS, Pace University, May 5th, 2017
  2. How to Protect Your Site at the DNS Level. Nathan Finch. bestwebhostingaustralia.org. 24 de marzo de 2020
  3. Entendiendo Fast Flux. admin. adrianramirez.es. 13 de mayo de 2016
  4. a b c d e Botnet Communication Topologies. Understanding the intricacies of botnet Command-and-Control. Gunter Ollmann, VP of Research, Damballa, Inc. 2009
  5. a b Malicious uses of Fast-Flux Service Networks (FFSN). Shateel A. Chowdhury. 29 de abril de 2019
  6. FAST FLUX SERVICE NETWORKS. jcr. Diciembre de 2019
  7. Domain fluxing. techtarget.com. Noviembre de 2013
  8. Entendiendo el algortimo[sic de Generación de Dominios (DGA)] Archivado el 26 de marzo de 2020 en Wayback Machine.. Adrián Ramirez Correa. adrianramirez.es. 13 mayo de mayo 2016