Tras el desmantelamiento de la red Avalanche nos encontramos con que estaba utlizando una red Fast Flux, y no es la primera vez que vemos un escenario de este tipo. Este término resuena hace ya varios años y supone un auténtico quebradero de cabeza a la hora de desmantelar una botnet construida usando esta estructura, así que vamos a empezar por el principio.

 ¿Qué es una red Fast Flux y cómo funciona?

Esta denominación puede hacer referencia, por una parte, a aquellas redes empleadas por varias botnets para ocultar los dominios utilizados para descargar malware o alojar webs de phishing. También puede referirse a un tipo de red similar a las P2P en las que se alojan tanto los centros de Comando y Control (C&C) o los proxies utilizados por esas botnets, algo que dificulta su descubrimiento y las hace más difíciles de desmantelar.

Para entendernos, el concepto básico de una red Fast Flux consiste en tener múltiples direcciones IP asociadas a un nombre de dominio, intercambiándose estas de forma constante y cada poco tiempo. En el caso de Avalanche, por ejemplo, se descubrieron más de 800.000 dominios maliciosos utilizados por los delincuentes desde su aparición en 2009 y con cambios de IP en periodos tan cortos como tan solo 5 minutos, lo que provocaría conexiones a máquinas diferentes a pesar de estar solicitando ver la misma web controlada por los atacantes.

De hecho, la mayoría de las máquinas que componen este tipo de redes no son las encargadas de alojar y descargar el contenido malicioso a las víctimas. Este trabajo está reservado para unas pocas máquinas que actúan como servidores de este contenido malicioso y el resto solamente actúan como redirectores, ayudando a enmascarar la dirección real de estos sistemas controlados por los delincuentes.

Además, para terminar de rizar el rizo, los delincuentes se aseguran de que los sistemas críticos de su red cuentan con la máxima disponibilidad y el mayor ancho de banda posible, llegando incluso a usar sistemas de balanceo de carga para poder atender todas las peticiones de descarga de contenido malicioso que realizan los sistemas de sus víctimas. Por si fuera poco, revisan periódicamente el estado de la red para descartar aquellos nodos que han quedado inaccesibles y asegurarse de que su contenido malicioso sigue activo y descargándose.

Tipos de redes Fast Flux

Podemos clasificar los tipos de redes Fast Flux en dos clases principales:

1. Redes Single Flux

Son aquellas en las que muchos nodos individuales se registran o eliminan sus direcciones IP como parte de un DNS A (Address o dirección) para un solo nombre de dominio. Estos registros tienen un tiempo de vida muy corto (5 minutos de media) y generan un flujo constante de direcciones IP cambiantes cuando se intenta acceder a un domino en concreto.

La gran cantidad de nodos dispuestos a registrar su IP provoca que cuando uno o varios de ellos caigan, otros ocupen rápidamente su lugar. Además, los dominios utilizados suelen alojarse en servidores “a prueba de balas” que algunos proveedores ofrecen a sus clientes, asegurándoles que no harán caso de aquellas ordenes realizadas por fuerzas de seguridad para tumbar ese dominio.

2. Redes Doble Flux

Este tipo de red es más sofisticado que el anterior y, a pesar de resultar parecido en sus componentes y en cómo se realizan las conexiones entre el sistema de la víctima y los sistemas controlados por los delincuentes, dispone de una capa más que dificulta averiguar la localización de la máquina que realmente está sirviendo el malware.

En este caso, se utilizan ordenadores zombis que forman parte de la botnet como proxies, evitando así que la víctima interactúe directamente con los servidores que alojan y sirven el malware y dificultando su localización. Es, en esencia, una medida adicional de ocultación que los delincuentes utilizan para mantener su infraestructura en funcionamiento durante más tiempo.

Detectando Redes Fast Flux

Puede que algún usuario se sorprendiera, cuando leyó en la noticia del desmantelamiento de Avalanche, de que esta botnet había estado activa desde 2009. Desde luego, 6 años es mucho tiempo de actividad para una botnet de estas características, pero hay que entender que el propio diseño de la misma dificultaba la investigación.

Para un delincuente es relativamente fácil montar una infraestructura que utilice redes Fast Flux, dificultando así su rastreo y utilizando múltiples nodos para despistar a los investigadores. A esto hemos de añadir las diferentes legislaciones que entorpecen aun más este tipo de investigaciones, ya que normalmente se aplican normativas legales de varios paises y las fuerzas de seguridad de varios paises se han de poner de acuerdo antes de actuar.

El cambio constante de IP utilizadas y la generación continuada de miles de dominios aleatorios (DGAs) tampoco ayudan a los investigadores y estos han de pasar mucho tiempo analizando los tiempos de vida de cada conexión realizada con la botnet; además, deben obtener información de ISP que no siempre están dispuestos a colaborar, y analizar innumerables logs de los registradores de dominios para descubrir y filtrar toda actividad maliciosa que pueda darles una pista válida e intentar localizar el o los centros de mando y control de la botnet.

Es por eso que este tipo de investigaciones suelen alargarse durante años y aun así, un simple descuido burocrático puede hacer que toda la operación se vaya por la borda y los responsables de estas actividades delictivas consigan escapar.

Como usuarios, lo que debemos evitar principalmente es que nuestros sistemas formen parte de uno de estos servicios gestionados por los ciberdelincuentes. Para eso, seguir los consejos de actualizar nuestro sistema y aplicaciones, contar con un antivirus actualizado y revisar periódicamente blogs de seguridad para estar al tanto de amenazas como esta y cómo detectarlas es algo vital.