Precisament en una de les xarrades de Blackhat d’enguany es va tractar el tema de com fer el seguiment a mostres de programari maliciós en forma massiva, i s'utilitzaren almenys dos enfocaments, que per a aquells que ens interessa fer el seguiment de campanyes malicioses, poden resultar interessants.

Per a fer este tipus de seguiment es pot aconseguir amb la informació DNS o directament a nivell de les adreces IP. Cada unes d’estes anàlisis presenta opcions complementàries respecte d’això de la informació que es pot obtindre en l’anàlisi d’amenaces del tipus xarxa de zombis.

Anàlisi a partir de la informació DNS
El fet que una xarxa de zombis es compon d’un gran grup d'ordinadors infectats i que reben instruccions d’un servidor de comandament i control, els fa molt versàtils per als atacants obtindre informació o recursos de les seues víctimes. Estes xarxes de zombis es poden usar com a xarxes de servidor intermediari per a protegir la ubicació dels atacants. Este tipus de configuracions, aprofiten el sistema DNS per a redirigir el centre de comandament i control a través d’un conjunt de nodes que canvia constantment i que s'utilitzen com a intermediaris per a transmetre informació entre màquines infectades i l’atacant.

Fent el seguiment d’estos dominis es pot identificar informació sobre la distribució geogràfica dels atacants i les víctimes, identificar les característiques dels arxius i les campanyes per a propagar les amenaces i inclús informació derivada de patrons que es troben en les direccions URL on s’allotgen les amenaces i els servidors de comandament i control com ara el tipus de servicis utilitzats per al seu allotjament.

Anàlisi de les adreces IP
A partir de la informació de les adreces IP amb les quals interactua un codi maliciós, es poden analitzar els rangs IP que són assignats i d’esta manera entendre la forma en què els atacants utilitzen estes assignacions per a evitar la detecció de les amenaces.

Normalment s’utilitzen sistemes de reputació per a detectar comportaments maliciosos. En estos sistemes s’assignen punteigs d’acord amb diferents característiques a adreces IP de forma individual. Allò diferent del plantejament realitzat durant la xarrada és l’aproximació d’estes anàlisis a través de grafs. D’esta manera amb l’anàlisi de la topologia del graf es pot trobar patrons que ajuden a identificar més xarxes i allotjaments que poden estar en risc o que ho estaran en un futur pròxim.

Totes les dades que es puguen recopilar d’estes amenaces, aporten informació que, en l’analitzar-la de forma conjunta, brinda un panorama més clar sobre com per a fer el seguiment de la forma en què els atacants propaguen les seues amenaces. Per a conéixer un poc més sobre tota la informació que es pot obtindre a partir de l’anàlisi massiva d’estes dades poden veure la presentació que van utilitzar els autors en DEFCON.