Llegamos a ustedes gracias a:



Noticias

La agilidad de DNS conduce a la detección de botnets

[24/06/2011] Los criminales cibernéticos han evolucionado sus tácticas para fortalecer sus botnets contra su destrucción, usando una variedad de tácticas, entre las que se encuentran las redes de flujo rápido y la generación dinámica de dominios al estilo Conficker. Sin embargo, esas tácticas también pueden determinar con precisión cuándo estas redes están siendo creadas por parte de sus operadores, según un estudio del Instituto Tecnológico de Georgia.

La investigación encontró que la dinámica para detectar cambios en el sistema de nombres de dominio (DNS) puede conducir a la detección temprana de las botnets. Cuando los bot masters crean la infraestructura para la botnet, la reputación de los nombres de dominio puede alertar a los defensores. En dos artículos, uno publicado el año pasado (PDF) y uno que se publicará en setiembre, los investigadores del GATech encontraron que pueden detectar anomalías en el sistema de nombres de dominio indicativos de botnets y han documentado tasas de reconocimiento superior al 98%.
La empresa de seguridad de redes Damballa anunció un servicio basado en investigación que proporciona información de inteligencia sobre sistemas afectados por botnets. De nombre FirstAlert, el servicio puede detectar los queries de DNS característicos que indican infecciones de botnets dentro de la red del cliente.
Si puede detectar el abuso de dominio con suficiente antelación en el ciclo de vida de la infección, entonces puede adelantarse a la amenaza, indicó David Holmes, vicepresidente de Marketing de Damballa. Si vemos un query de dominio en el entorno del cliente que no hemos visto antes, podemos decir, eso es interesante.
Los dos artículos describen dos sistemas. Uno de ellos, Notos, que determina dinámicamente la reputación de un nombre de dominio/dirección IP. El sistema recoge datos de consulta DNS de los registradores y analiza la estructura del dominio, centrándose en la red y las características de la zona.
Se construye modelos de dominios conocidos y legítimos y de dominios maliciosos, y utiliza estos modelos para calcular una puntuación de reputación para un nuevo dominio, lo cual indica si el dominio es malicioso o legítimo, escribe Manos Antonakakis, investigador de la GATech y co-autor del artículo.
El otro, Kopis, puede detectar cambios en la infraestructura DNS de la empresa, el proveedor de servicios de Internet o la red mundial de Internet, que es característico de las redes maliciosas. El sistema requiere alrededor de cinco días de entrenamiento para empezar a detectar botnets, señaló Holmes.
Kopis es una máquina de aprendizaje de tecnología, agregó. Se ha entrenado o puede entrenarse para comprender los patrones de búsqueda y la periodicidad y los perfiles… basados en la diversidad de las búsquedas.
El sistema utilizado en conjunto ha sido capaz de detectar botnets, como la IMDDOS y los construidos en Spyeye. Muchas veces, puede detectar botnets semanas antes de que se activen y empezar a sacar el malware, indicó Holmes.
La tecnología no está destinada a ser utilizada como un servicio independiente, sino en combinación con otros sistemas expertos como los motores de spam. Notos, por ejemplo, penalizará los sitios web legítimos que se alojen con un proveedor que también recibe nombres de dominio malicioso.
Robert Lemos, CSO (US)