Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/03/2011
Un nuevo método descubre las botnets detrás de los dominios cambiantes
Investigadores de la universidad Texas A&M University aseguran haber descubierto un nuevo método para encontrar botnets de dominios “fluctuantes”, que evitan ser detectadas mediante la continua alternancia de nombres de dominio.
El nuevo método para la detección de este tipo de botnets puede, según sus creadores, utilizarse para encontrar redes de ordenadores zombies como Conficker, Kraken o Torpig, que utilizan la estrategia conocida como fluctuación de dominios DNS para su infraestructura de comando y control.
Este tipo de botnets se caracterizan por generar nombres de dominio aleatorios. Una bot requiere una serie de nombres de dominio, pero el propietario del dominio registra únicamente uno. A modo de ejemplo, los investigadores participantes en este proyecto señalan Conficker-A, que generó 250 dominios cada tres horas. Después, para hacer más difícil a los proveedores de seguridad preregistrarlos, la siguiente versión, Conficker-C, aumentó a 50.000 el número de dominios generados aleatoriamente.
El método desarrollado por Texas A&M University analiza el patrón y la distribución de caracteres alfabéticos en un nombre de dominio para determinar si es legítimo o no. Algo que permite identificar los nombres de dominio de las botnets generados algorítmicamente.
“Nuestro sistema analiza únicamente el tráfico DNS y puede por tanto escalarse fácilmente a grandes redes”, asegura Narasimha Reddy, uno de los investigadores participantes en este descubrimiento. “Es capaz de detectar botnets previamente desconocidas mediante el estudio de una pequeña parte del tráfico de la red.