sábado, 26 de abril de 2014

Fraude online: Infraestructura FastFlux

Algo que siempre me ha llamado la atención es conocer la forma en la que actúan los cibercriminales, que métodos utilizan para distribuir malware sin que nos demos cuenta etc.. Por ello siempre he estado buscando información sobre este tema e intentar llevarlo a cabo yo mismo dentro de mi propia red virtual para ponerme en la piel de un cibercriminal. Viendo la facilidad con la que se puede llevar a cabo este ataque, voy a explicaros de que trata eso de "Infraestructura FastFlux" de la mejor forma que pueda para que no sean tan técnico y hasta las personas que no tengan mucha idea sobre esto, sepa de que va y pueda así tener un poco más de seguridad a la hora de navegar por Internet.

A diario que navegamos por Internet hacemos peticiones a los servidores para ver su contenido y poder navegar por el sitio web del dominio. Esto es una simple arquitectura cliente-servidor. Os dejo una imagen a continuación y os explicaré paso a paso lo que hacemos todos los que navegamos por Internet a diario.

Conexión a un servidor web

Paso 1: Cuando queremos entrar por ejemplo en el dominio marca.com para visualizar su contenido, lo primero que hacemos es teclear en la barra de direcciones la url que en este caso sería, http://www.marca.com, al hacer esa petición le preguntamos a nuestro servidor DNS que normalmente es el que nos proporciona nuestro ISP (vodafone, orange, ono..) si conoce la dirección marca.com.
Paso 2: El servidor DNS nos contesta con la dirección IP que corresponde a marca.com.
Paso 3: Hacemos la petición HTTP a la dirección IP que nos dio anteriormente el servidor DNS, es decir 193.110.128.199.
Paso 4: El servidor de marca.com nos responde con la página principal y así podremos navegar por la página y visitar cada una de las secciones que tenga.

Una vez entendido como funciona esta arquitectura tan típica de cliente-servidor, vamos a ponerlo ahora un poco más complicado y explicaremos en que consiste la infraestructura que utilizan muchos cibercriminales llamada FastFlux simple para distribuir código malicioso, hacer phishing, enviar spam entre otras cosas. Es muy común ver en esta técnica como los ciberdelincuentes utilizan dicha técnica para intentar ocultar la dirección del servidor, una de las maneras puede ser con goo.gl o bitly. En esta técnica el servidor DNS devolverá varias direcciones IP que irán cambiando cada cierto tiempo muy corto. Estas direcciones IP serán zombies (ordenadores infectados) que actuarán de proxys (intermediarios) entre el cliente que será la víctima y el servidor atacante que quiere infectarnos. En la siguiente imagen podemos verlo y a continuación pasaré a explicarlo.

Infraestructura FastFlux simple

Paso 1: Al igual que en el anterior ejemplo que hemos visto, le preguntamos al servidor DNS por la dirección de ejemplo.com
Paso 2: El servidor DNS le responde con la dirección IP 1.2.3.4 que en realidad no es la de ejemplo.com, es la de un servidor proxy que está haciendo de intermediario.
Paso 3: La víctima hace la petición HTTP a la dirección 1.2.3.4 que se trata de un ordenador infectado haciendo de proxy.
Paso 4: El ordenador zombie hace la petición al verdadero servidor ejemplo.com el cual la víctima en ningún momento sabe que este existe, está oculto para el, sólo es visible por el ordenador zombie.
Paso 5: El servidor real le devuelve al proxy  la petición que había realizado.
Paso 6: El proxy le devuelve a la víctima la respuesta que le ha dado el servidor real, en la comunicación que existe en el paso 3.

Cada poco tiempo el DNS devolverá una dirección diferente a la victima, todas esas direcciones IP que le devuelva serán de ordenadores infectados que actuarán exclusivamente como intermediarios entre el dominio ejemplo.com y la víctima.

Y os preguntareis, ¿Cómo detectar este tipo de red? podemos detectar que es una red fastflux con la herramienta dig la cual nos permite hacer consultas al servidor dns y así obtener la dirección IP del servidor al que se hace la consulta, en caso de darnos varias direcciones IP con un TTL (Tiempo de vida) bajo, posiblemente significará que nos encontramos frente a un servidor que esté utilizando una red fastflux y podemos comprobar haciendo varias peticiones durante 30-60 segundos como van cambiando las direcciones IP y de esta manera la estructura no siempre es igual, en ese caso es una clara infraestructura FastFlux por lo que con un simple baneo de IP no podríamos detener la distribución de malware. A continuación os dejo una imagen para que os podáis hacer una idea de como detectarlo.

Ejecución del comando dig


Una vez tenemos una idea de como actúan los cibercriminales, ya sabemos como evitar una posible infección. Añadir que estas personas, aprovechan noticias de gran repercusión para así poder conseguir infectar los equipos ya que, siempre que ocurre algo importante nosotros somos los primeros que buscamos información para saber que ha pasado exactamente. Mucho ojo ahora con la muerte del entrenador de FC Barcelona Tito Vilanova (En paz descanse) con los sitios que visitáis para buscar información porque seguro que muchos de los dominios se habrán creado hace horas para distribuir malware. Si queréis visitar un sitio porque creéis que tiene información pero la URL está acortada y no os fiais mucho, podéis visitar knowurl.com y escribirla para que os diga de donde viene exactamente e incluso hacer un virusscan, después podéis analizarla con los sitios que Edu nos enseño en su entrada de analizando objetivos sin hacer ruido.
knowurl.com analizando una url acortada

Un saludo!

@Joseliyo_Jstnk

0 comentarios:

Publicar un comentario