Inicio / Blog / Técnicas emergentes de evasión: Domain shadowing

Técnicas emergentes de evasión: Domain shadowing

Publicado el 08/04/2015, por Antonio López (INCIBE)
Domain shadowing

Como si del juego de gato y ratón se tratase, las medidas que toman las compañías de seguridad para detectar el malware y anular sus acciones son respondidas por los creadores de software malicioso con técnicas para evadir esas mitigaciones. El protocolo DNS es uno de los más ampliamente utilizado para evadir detecciones y que los sitios maliciosos sean identificados y neutralizados.

Como se describió en el artículo "Uso y abuso de DNS" es muy común el uso de estrategias de DNS fast-flux. Esta técnica si bien es eficaz, supone la utilización de un gran número de direcciones IP para hacer variar la resolución del dominio y evitar la localización de un elemento malicioso. Por otra parte una vez identificado el dominio y mediante sinkholing, el dominio puede ser neutralizado pero frecuentemente, es necesario complementar esta posibilidad con otras estrategias como la generación de dominios (DGA).

Estas circunstancias suponen un quebradero de cabeza a los desarrolladores de botnets que necesitan mantener un control y comunicación lo más amplia y distribuida posible sobre los dispositivos infectados. A raíz del descubrimiento y análisis de recientes y avanzadas muestras de software malicioso  como Angler Exploit Kit, se ha constatado la consolidación de una nueva tendencia de evasión, bautizada como domain shadowing.

Domain Shadowing

Esta estrategia de evasión cuyas evidencias de aparición datan de finales de 2011, está cobrando protagonismo últimamente, como muestran los resultados obtenidos por investigaciones realizadas por Cisco Systems:

Illustrating explosion of usage since December-2014. Larger bubble indicates more events.(As of mid February)

- Evidencias de Angler Exploit Kit y uso de domain shadowing. FUENTE: Cisco -

El domain shadowing consiste en tomar el control de un dominio registrado consiguiendo las credenciales de administración de modo que sea posible crear registros DNS para nuevos subdominios. Creando multitud de subdominios, el atacante configura una lista lo más amplia posible. Este comportamiento ha demostrado ser altamente efectivo para evitar técnicas de bloqueo típicas como el blacklisting y/o sinkholing de sitios o direcciones IP.

A diferencia de fast-flux donde se cambia rápidamente la IP asignada a un único dominio, domain shadowing rota subdominios asociados a un dominio. Esos subdominios pueden apuntar bien a una única IP, o aun conjunto de ellas según las necesidades y circunstancias.

Operación con domain shadowing

Un análisis realizado por el grupo Talos de Cisco muestra que el uso de los subdominios está inteligentemente organizado en niveles. Supongamos que el dominio "midominiodeejemplo.com" ha sido comprometido y está bajo control de los ciberdelincuentes. El atacante generará un número aleatorio de subdominios con nomenclatura inteligible basadas en palabras comunes, como por ejemplo puerta.midominiodeejemplo.com.

Estos subdominios formarían un nivel inicial donde alojan páginas de entrada que incluyen un "aditamento" para redirigir rápidamente al usuario a otros subdominios (de redirección) con una nomenclatura aleatoria, por ejemplo 5df4f7hsf.midominiodeejemplo.com o incluso de otro dominio diferente que esté bajo control y hacer uso incluso de un cuarto nivel de dominio dificultar aún más la trazabilidad en el flujo de las comunicaciones. Rápidas rotaciones de distintos subdominios aleatorios harán llegar finalmente a la víctima a un subdominio que aloja un exploit para infectar al usuario (nivel de explotación). Esta serie de redirecciones y organización en subdominios proporciona un mecanismo de gran eficacia para evitar detecciones y bloqueos. Las direcciones IP de los subdominios suelen rotarse con frecuencia para hacer más efectiva la estrategia de evasión.

Flujo de eventos en una infección usando domain shadowing. FUENTE: McAfee

- Flujo de eventos en una infección usando domain shadowing. FUENTE: McAfee-

Detección

Las direcciones IP y los subdominios utilizados en domain shadowing varían rápidamente de modo que contramedidas como incluirlos en listas negras resultan poco eficaces. La detección de esta estrategia pasaría por analizar subdominios que resuelvan a una IP común o a un dominio de segundo nivel único. No obstante hay que lidiar con la dificultad de que, un gran número de proveedores de servicios en la nube hacen uso de numerosos de subdominios casi-aleatorios que pueden aumentar sensiblemente el caso de falsos positivos.

Un origen, múltiples problemas.

Una vez más nos encontramos con una estrategia que saca partido del robo de credenciales y las malas prácticas de contraseñas y de administración de recursos. Ataques de phishing e ingeniería social resultan estar casi siempre presente en casos importantes de ataques o robos informáticos. En ataques como los de domain shadowing, dado el alto número de dominios afectados y multitud de usuarios comprometidos, el seguimiento de estos dominios y predicciones se hace muy difícil.

Etiquetas: