¿Cómo puede alguien dominar los dominios?

16

El artículo de Wikipedia sobre CryptoLocker dice:

  

A finales de octubre de 2013, el proveedor de seguridad Kaspersky Labs informó que con la ayuda de un investigador, creó un sumidero DNS para bloquear algunos de los nombres de dominio utilizados por CryptoLocker.

El artículo de Wikipedia sobre sumidero DNS dice:

  

Un sumidero DNS, también conocido como servidor de sumidero, sumidero de Internet o BlackholeDNS, es un servidor DNS que proporciona información falsa para evitar el uso de los nombres de dominio que representa. El uso más común es detener las botnets, al interrumpir los nombres DNS que la red del bot está programado para usar para la coordinación. Los sumideros pueden usarse de forma constructiva y destructiva, según el objetivo.

¿Cómo funciona esto? ¿Quién puede los dominios de sumidero? Soy un laico del DNS, así que por favor tengan paciencia conmigo.

Por lo que yo entiendo, necesita controlar / poseer uno de los principales servidores DNS que utilizan otros servidores DNS, ¿verdad? De esa manera, todos los demás servidores DNS obtienen las IP actualizadas (= incorrectas) para los dominios en cuestión. De lo contrario, solo llegaría a una pequeña cantidad de usuarios (por ejemplo, aquellos que utilizan un servidor DNS personalizado específico que controla, etc.)

¿Entonces significa que "Kaspersky Labs y el investigador" controlan dicho servidor DNS? ¿O significa que simplemente identificaron los dominios en cuestión y los enviaron a los operadores del servidor DNS (con la esperanza de bloquearlos)? ¿O hay una manera de hundir los dominios sin controlar un servidor DNS?

¿Y hay una manera de notar que un dominio está hundido? Tal vez una bandera o algo así? ¿O es la única forma de consultar un servidor DNS alternativo adicional y comparar las direcciones IP resueltas?

    
pregunta unor 02.11.2013 - 11:44
fuente

3 respuestas

18

En el artículo al que hace referencia la página de Wikipedia, las cosas son más claras. Aquí está la historia:

El malware CryptoLocker cifra los archivos del usuario con una clave generada aleatoriamente. Para promulgar el rescate, el malware debe enviar la clave de descifrado a un centro de comando y control operado por los malos. Las autoridades cerrarán pronto una dirección IP o un nombre del servidor de C & Para evitar este problema, los autores de CryptoLocker utilizaron el siguiente esquema: C & C registra nombres de dominio de apariencia aleatoria a una tasa bastante alta (¡1000 por día!). Los nombres de dominio se generan con un algoritmo pseudoaleatorio determinístico, que el malware también conoce. Por lo tanto, cuando CryptoLocker se ejecuta en la computadora de una víctima, intenta usar uno de los nombres de dominio du jour para hablar con C & C. La esperanza del atacante es que las agencias policiales tengan que pasar por una burocracia administrativa pesada para forzar el cierre de un nombre de dominio, y no podrán hacerlo 1000 veces al día.

Dado que el malware conoce el algoritmo de generación de dominios, un investigador (Dimiter Andonov) realizó una ingeniería inversa del código y, por lo tanto, pudo predecir los nombres de dominio por adelantado. Kaspersky "hundió" tres nombres de dominio de los 3000 durante tres días consecutivos; esto significa que simplemente ... registraron estos dominios. Lo que impidió que los malos hicieran lo mismo, pero también le da algunos datos a Kaspersky. Kaspersky quería tomar medidas, no contener la infección. Con sus tres nombres de dominio, salvaron aproximadamente 1/1000 de las víctimas de CryptoLocker durante tres días (no es un gran logro, en general), pero también obtuvieron estadísticas sobre la distribución mundial de víctimas: 1/1000 de las máquinas infectadas por CryptoLocker Durante estos tres días, no hablé con C & C, sino con los sistemas de Kaspersky, quienes por supuesto les dijeron no que cifraran los datos, pero también notaron quién les habló.

Para bloquear realmente CryptoLocker en el nivel de DNS, todos los 1000 dominios diarios deberían ser bloqueados (por ejemplo, por el DNS raíz), lo que podría implicar algún daño colateral (los dominios honestos y normales pueden ser, por mala suerte, parte de los nombres generados aleatoriamente).

El término "sumidero" es un tanto abusivo aquí . Un sumidero DNS real implica algo más contundente: el sumidero es un servidor DNS que de alguna manera se inserta en la cadena de servidores DNS a los que se les preguntará su opinión sobre la resolución de un nombre dado. Una versión local es fácil: coloque información explícita de host a IP en /etc/hosts (o su equivalente en Windows), que anulará todo lo que el sistema DNS externo pueda decir sobre el nombre. Para un efecto más global, esto debe hacerse a nivel del sistema operativo (por ejemplo, Microsoft puede presionar un parche del sistema operativo que altera la resolución de nombres) o en un DNS raíz (o una "raíz secundaria" como los de " co.uk ").

En ese sentido, la diferencia entre un sumidero DNS y DNS spoofing es que, en el primer caso, lo realizan personas" buenas ". Formalmente, es un tipo de ataque ... que nos recuerda que el proveedor del sistema operativo y el navegador que usa (por ejemplo, Microsoft) y los operadores de DNS raíz son "de confianza": si son hostiles para usted, está condenado.

    
respondido por el Tom Leek 02.11.2013 - 13:51
fuente
6
  

¿Cómo funciona esto? ¿Quién puede los dominios de sumidero?

Cualquiera puede dominios de sumidero. La clave es que solo afecta a los sistemas que están usando ese pozo particular para la resolución de DNS. Obviamente, los servidores DNS raíz o los servidores DNS controlados por los ISP afectarán a un mayor número de máquinas.

Eche un vistazo al artículo a la página de wikipedia vinculada.

  

Dimiter Andonov de ThreatTrack Security modificó el algoritmo mediante ingeniería inversa y Kaspersky Lab hundió tres dominios para medir el número de víctimas en todo el mundo.   En total, hemos tenido 2764 IP de víctimas únicas en contacto con los dominios hundidos.

Kaspersky está utilizando un sumidero DNS para medir el número de víctimas en todo el mundo. El artículo no indica quién o qué servidores DNS está usando Kaspersky para lograr esto, pero presumiblemente es de su propiedad.

  

¿Y hay una manera de notar que un dominio está hundido? Tal vez una bandera o algo así? ¿O es la única forma de consultar un servidor DNS alternativo adicional y comparar las direcciones IP resueltas?

No creo hay una manera rápida y fácil de hacer esto. Me he dado cuenta de que esta herramienta llamada dnsyo en GitHub puede ser útil al hacer esto, pero tendrás que investigar esto más a fondo.

    
respondido por el Ayrx 02.11.2013 - 13:38
fuente
-1

Puede obtener información de la respuesta que recibe de ese dominio debajo del enlace que tiene la captura de pantalla enlace

    
respondido por el samitsec 16.08.2016 - 08:20
fuente

Lea otras preguntas en las etiquetas