Após a desmontagem da rede Avalanche, descobrimos que os cibercriminosos estavam utilizando uma rede Fast Flux. E não é a primeira vez que vemos um cenário deste tipo, o termo ressoa há vários anos e é uma verdadeira dor de cabeça na hora de desmontar uma botnet construída usando esta estrutura. Confira o nosso post de hoje e saiba o que são e como funcionam.
O que é uma rede Fast Flux e como funciona?
Essa denominação pode fazer referência, por uma lado, as redes utilizadas por várias botnets para esconder os domínios utilizados para baixar malware ou hospedar sites web com phishing. No entanto, também pode se referir a um tipo de rede semelhante às P2P, nas quais se hospedam tanto os centros de Comandos e Controle (C&C) ou os proxies utilizados pelas botnets, algo que dificulta seu descobrimento e as torna mais difíceis de serem desmontadas.
Para entendermos, o conceito básico de uma rede Fast Flux consiste em ter múltiplos endereços IP associados a um nome de domínio, que são alterados de forma constante e em pouco tempo. No caso da rede Avalanche, por exemplo, foram descobertos mais de 800.000 domínios maliciosos utilizados pelos delinquentes desde o surgimento da rede em 2009 e com mudanças de IP em períodos tão curtos como 5 minutos, o que provoca conexões em diferentes máquinas, apesar de solicitar a visualização do mesmo site web controlado pelos atacantes.
De fato, a maioria das máquinas que compõem estes tipos de redes não são as responsáveis pela hospedagem e download do conteúdo malicioso nos dispositivos das vítimas. Este trabalho é reservado para algumas máquinas que funcionam como servidores deste conteúdo malicioso; o restante atua apenas como redirecionadores, ajudando a mascarar o endereço real dos sistemas controlados pelos cibercriminosos.
Além disso, os cibercriminosos faz com que os sistemas críticos da rede contem com a disponibilidade máxima e a maior banda larga possível, chegando a usar sistemas de balanceamento de carga para satisfazer todos os pedidos de download de conteúdo malicioso realizados pelo sistema das vítimas. Como se isso não fosse suficiente, revisam periodicamente o estado da rede para baixar os nós que tenham ficado inacessíveis, garantindo que o conteúdo malicioso continue ativo e sendo descarregado.
Tipos de redes Fast Flux
Podemos classificar os tipos de redes Fast Flux em duas classes principais:
1. Redes Single Flux
São aquelas nas quais muitos nós individuais registram ou eliminam seus endereços IP como parte de um DNS A (Address ou endereço) para apenas um único nome de domínio. Esses registros tem um tempo de vida muito curto (5 minutos em média) e geram um fluxo constante de mudanças de endereços IP ao tentar acessar a um domínio particular.
A grande quantidade de nós dispostos a registrar seu IP provoca a caída de um ou vários deles, permitindo que outros ocupem o mesmo lugar rapidamente. Além disso, os domínios utilizados costumam ser hospedados em servidores “a prova de bala” que alguns provedores oferecem aos seus clientes, garantindo que estes não ignorem esses pedidos realizados pelas forças de segurança para derrubar o domínio.
2. Redes Doble Flux
Este tipo de rede é mais sofisticada do que a anterior e, apesar de ser semelhante nos seus componentes e em como as conexões entre o sistema da vítima são realizadas e controladas pelos criminosos, tem uma camada que dificulta a busca pela localização da máquina que realmente está servindo o malware.
Neste caso, computadores zumbis que fazem parte da botnet são usadas como proxies, impedindo a vítima de interagir diretamente com os servidores que hospedam e servem o malware, dificultando também a sua localização. É, em essência, uma medida extra de ocultação que os criminosos usam para manter sua infraestrutura funcionando durante muito mais tempo.
Detectando redes Fast Flux
Talvez algum usuário possa ter ficado surpreso quando leu a notícia do desmantelamento da rede Avalanche, principalmente o fato dessa botnet ter sido ativada em 2009. Desde então, seis anos é um longo tempo de atividade para uma botnet com essas características, mas é importante entender que o próprio projeto da mesma dificultou a investigação.
Para um criminoso é relativamente fácil montar uma infraestrutura usando redes Fast Flux, dificultando assim o seu rastreamento e usando vários nós para enganar investigadores. Para isso, é preciso criar leis que colaborem ainda mais com essas investigações, regulamentos, normalmente legais e as forças de segurança de vários países que possam contribuir com acordos antes de atuarem.
A mudança constante dos IP utilizados e a geração contínua de milhares de domínios aleatórios (DGAS) não ajudam aos investigadores, fazendo com que gastem muito mais tempo analisando as vidas de cada conexão realizadas com a botnet; eles também devem obter informações dos ISPs que nem sempre estão dispostos a colaborar e analisar vários logs de registradores de domínio para encontrar e filtrar qualquer atividade maliciosa que possa dar uma pista válida e tentar localizar o(s) Centros de Comando e Controle da botnet.
É por isso que esse tipo de investigação, muitas vezes estende-se por anos e ainda assim, um simples descuido burocrático pode fazer com que toda a operação vá por água a baixo, e os responsáveis pelas atividades criminosas consigam escapar.
Como usuários, devemos evitar que nossos sistemas se tornem parte de um desses serviços geridos por cibercriminosos. Para isso, siga a dica para atualizar seu sistema e os aplicativos com um antivírus atualizado. Além disso, leia periodicamente blogs sobre segurança da informação para estar ciente das ameaças para poder reconhecê-las.