Hablando
sobre naturaleza, un sinkhole - término inglés - define un hundimiento
de tierra u hoyo. En el mundo de informática, sin embargo, se denomina
sinkhole a una técnica de defensa contra botnets que puede neutralizar
la misma completamente, puesto que trata de controlar el punto al que se
conectarán los ordenadores infectados, atrayéndolos como si fuese un
agujero de verdad.
Para tratar con un ejemplo real, vamos a ver cómo está siendo “sinkholeado” el troyano Mebroot, también conocido como Sinowal/Torpig.
Antes de nada, debemos mencionar que esta familia de malware no se
conecta únicamente a un único panel de control, sino que utiliza un
algoritmo para generar los nombres de dominio a los que se conectará.
Peticiones realizadas desde una maquina infectada
La generación de dominios continúa hasta que uno de ellos resuelva y se
compruebe su validez. Esta técnica no es novedosa, y se utiliza para que
la botnet sea más difícil de destruir, a la vez que permite poder
recuperar la botnet en cualquier momento registrando un dominio futuro
que se sepa que va a ser generado el día X. No obstante, tiene su
desventaja, y es que cualquiera que conozca o descifre el algoritmo de
generación de dominios podría ir un paso por delante y registrar uno de
los dominios a los que se conectarán los bots.
Como veremos a continuación, justo lo escrito arriba está pasando con la
muestra que hemos analizado, y es que el servidor que finalmente se
pudo resolver dicho día envió el siguiente mensaje:
Respuesta descifrada desde del C&C
El bot en cuestión recibió el comando NOOP junto con la nota pwned,
indicándole que se quedara en espera (NO OPeration) y paró de generar
más dominios.
Con esto, podemos decir que el servidor malicioso ha sido reemplazado
por uno controlado presuntamente por investigadores de seguridad, y los
propietarios de ese servidor podrán obtener inteligencia acerca del
tamaño de la botnet, las IPs de las víctimas, hasta avisar los
proveedores de servicios de internet de una infección posible.
Jozsef Gegeny
S21sec ACSS
No hay comentarios:
Publicar un comentario