limitando la creación automatizada de dominios por malware

0

Como sabemos, la mayoría de los malwares crean miles de dominios y subdominios utilizando DBA para configurar C & C comunicaciones. Los nombres de dominio están controlados por la Corporación de Internet para Nombres y Números Asignados (ICANN) en el nivel superior. ¿Es posible que la ICANN solicite a todos los registradores la integración de OTP (contraseña de un solo uso) para los registros de dominio? Lo que significa que para cada registro de dominio, el registrador enviará una OTP a un móvil y el dominio se registrará solo después de la autenticación OTP. Esto debería poner límites a los registros de dominio automatizados, así como proporcionar un seguimiento al número de móvil registrado. ¿Es esto factible de implementar?

    
pregunta ISGuy 02.06.2017 - 10:45
fuente

2 respuestas

2

No estoy seguro de que hayas entendido bien cómo funciona la implementación de malware DGA. En realidad no registra los nombres de dominio, solo los genera e intenta comunicarse con un subconjunto de ellos.

El autor del malware puede generar la misma lista, y elegir uno o dos para registrarse, y luego el malware puede conectarse a los registrados en un intento de actualización, esto generalmente no es una certeza. Por ejemplo, según Wikipedia , Conficker.c generó 50,000 nombres de dominio por día y luego intentó acceder a 500 de estos (por ejemplo, 1%), buscando una respuesta específica. El autor del malware solo tendría que registrar 1 de esos 500 para poder actualizar, lo que no sería arduo, incluso con un esquema OTP como se sugiere.

Esto no daría ninguna certeza de que una instancia determinada del malware se actualizaría en un día determinado, pero dado un período de infección lo suficientemente largo y una distribución de malware ampliamente difundida, es probable que se actualicen suficientes instancias para continuar causar problemas.

Lo que podría ser factible sería que un registrador de dominio impida el registro de cualquier dominio generado dentro de malware conocido. Sin embargo, esto probablemente alentaría a los autores de malware a adoptar diferentes técnicas, tal vez comprobando si un dominio puede registrarse y activando si no.     

respondido por el Matthew 02.06.2017 - 11:15
fuente
1

Es probable que su solución propuesta no funcione en varios frentes.

  

¿Es posible que la ICANN solicite a todos los registradores la integración de OTP (contraseña de un solo uso) para los registros de dominio?

He estado lidiando con la mitigación de una amenaza particular que involucra el abuso de OTP por más de un año. Parece que no se da cuenta de la cantidad de servicios telefónicos con grabadora que hay (prepago, etc.), así como las soluciones VoIP desechables (Google Voice, etc.), todas las cuales pueden configurarse como parte de un timbre organizado o completamente automatizado con un simple script en Python (como postula @Martin Fischer). Y luego están los teléfonos robados y utilizados para la validación de OTP antes de que el propietario los detecte y los desactive.

  

Esto debería poner límites a los registros de dominio automatizados, así como también puede proporcionar un seguimiento del número de móvil registrado.

Sin duda, obstaculizaría el registro automatizado de dominios hasta cierto punto, pero aún así es el tipo de trabajo que podría llevar a un centro de llamadas nigeriano por centavos por hora. Y no se engañe a sí mismo de que los números registrados nunca llevan a ninguna parte, especialmente cuando se trata de fronteras internacionales.

    
respondido por el Ivan 02.06.2017 - 16:31
fuente

Lea otras preguntas en las etiquetas