Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/03/2011
Un nou mètode descobrix les botnets darrere dels dominis canviants
nvestigadors de la universitat Texas A&M University asseguren haver descobert un nou mètode per a trobar xarxes zombies de dominis “fluctuants”, que eviten ser detectades mitjançant la contínua alternança de noms de domini.
El nou mètode per a la detecció d'aquest tipus de xarxes zombies pot, segons els seus creadors, utilitzar-se per a trobar xarxes d'ordinadors zombies com Conficker, Kraken o Torpig, que utilitzen l'estratègia coneguda com a fluctuació de dominis DNS per a la seua infraestructura de comandament i control.
Aquest tipus de xarxes zombies es caracteritzen per generar noms de domini aleatoris. Una bot requereix una sèrie de noms de domini, però el propietari del domini registra únicament u. A manera d'exemple, els investigadors participants en aquest projecte assenyalen Conficker-A, que va generar 250 dominis cada tres hores. Després, per a fer més difícil als proveïdors de seguretat preregistrar-los, la següent versió, Conficker-C, va augmentar a 50.000 el nombre de dominis generats aleatòriament.
El mètode desenrotllat per Texas A&M University analitza el patró i la distribució de caràcters alfabètics en un nom de domini per a determinar si és legítim o no. Quelcom que permet identificar els noms de domini de les xarxes zombies generades algorítmicament.
“El nostre sistema analitza únicament el tràfic DNS i pot per tant escalar-se fàcilment a grans xarxes”, assegura Narasimha Reddy, un dels investigadors participants en aquest descobriment. És capaç de detectar xarxes zombies prèviament desconegudes mitjançant l'estudi d'una xicoteta part del tràfic de la xarxa.