O Ed Skoudis publicou um interessante artigo sobre as redes Fast-Flux, e como os hackers - especialmente os que conduzem ataques de phishing/ distribuição de malware - configuram suas BotNets para utilizar Round Robin DNS. A técnica é utilizada desde 2006 e tem se popularizado pela sua efetividade - o Storm Worm a utiliza.
Uma rede Fast-Flux possui, além dos Bots já configurados com Proxies ou redirecionadores TCP , servidores DNS registrados em redes maliciosas ou mal administradas (que demoram a atender as solicitações de bloqueio), utilizando um DNS TTL bem baixo (às vezes menor que 5 minutos). Nestes DNS Servers são atualizados frequentemente em Round Robin a lista de bots servindo de redirecionadores para as páginas contendo phishing/malwares disponibilizados.
O objetivo é manter a infra-estrutura de bots (máquinas 'zumbis', já infectadas) em alta disponibilidade: sempre servindo ao propósito de propagar os malwares ou páginas de Phishing ativas, dificultando ao máximo o seu bloqueio ou remoção.
No comments:
Post a Comment