Para los delincuentes informáticos resulta de vital importancia mantener sus acciones maliciosas tales como phishing, spam, botnets o campañas de malware en general activas el mayor tiempo posible. Por lo tanto la forma en que utilizan la infraesctructura de red es uno de sus desafíos y el seguimiento de su comportamiento es un reto para el cual cada vez se encuentran alternativas interesantes que permiten su análisis.
Precisamente en una de las charlas de Blackhat de este año se estuvo tocando el tema de cómo hacer el seguimiento a muestras de malware en forma masiva, utilizando por lo menos dos enfoques, que para aquellos que nos interesa hacer el seguimiento de campañas maliciosas, pueden resultar interesantes.
Para hacer este tipo de seguimiento se puede lograr con la información DNS o directamente a nivel de las direcciones IP. Cada uno de estos análisis presenta opciones complementarias al respecto de la información que se puede obtener en el análisis de amenazas del tipo botnet.
Análisis a partir de la información DNS
El hecho de que una botnet se compone de un gran grupo de computadoras infectadas y que reciben instrucciones de un servidor de comando y control, las hace muy versátiles para los atacantes obtener información o recursos de sus víctimas. Estas redes de bots se pueden usar como redes proxy para proteger la ubicación de los atacantes. Este tipo de configuraciones, aprovechan el sistema DNS para redirigir el centro de comando y control a través de un conjunto de nodos que está constantemente cambiando y que son utilizados como intermediarios para transmitir información entre máquinas infectadas y el atacante.
Haciendo el seguimiento de estos dominios se puede identificar información acerca de la distribución geográfica de los atacantes y las victimas, identificar las características de los archivos y las campañas para propagar las amenazas e incluso información derivada de patrones que se encuentren en las direcciones URL donde se alojan las amenazas y los servidores de comando y control tales como el tipo de servicios utilizados para su alojamiento.
Análisis de las direcciones IP
A partir de la información de las direcciones IP con las que interactúa un código malicioso, se pueden analizar los rangos IP que son asignados y de esta forma entender la forma en que los atacantes utilizan estas asignaciones para evitar la detección de las amenazas.
Normalmente se utilizan sistemas de reputación para detectar comportamientos maliciosos. En estos sistemas se asignan puntajes de acuerdo a diferentes características a direcciones IP de forma individual. Lo diferente del planteamiento realizado durante la charla es la aproximación de estos análisis a través de grafos. De esta forma con el análisis de la topología del grafo se puede encontrar patrones que ayudan a identificar más redes y hosts pueden estar en riesgo o que lo estarán en un futuro próximo.
Todos los datos que se pueda recopilar de estas amenazas, aportan información que, al analizarla de forma conjunta, brinda un panorama más claro sobre cómo para hacer el seguimiento de la forma en que los atacantes propagan sus amenazas. Para conocer un poco más sobre toda la información que se puede obtener a partir del análisis masivo de estos datos pueden ver la presentación que utilizaron los autores en DEFCON.