lunes, 9 de julio de 2012

DNSChanger: ¿Qué hay detrás del apagón? (I)

DNSChanger ha sido un malware muy mediático. Como es costumbre, desde los medios generalistas se ha desinformado al usuario, y se ha puesto el énfasis quizás en lo menos importante. Vamos a intentar destacar lo que realmente nos parece relevante con respecto a este malware y, sobre todo, analizar por qué el FBI ha actuado como lo ha hecho.

Todo comenzó a finales de 2011. Se volvía a poner de "moda" el malware DNSChanger. Con titulares como "Llega un virus alta peligrosidad "DNS Changer"" y frases como "diversos organismos de seguridad en Internet a nivel mundial han alertado de la peligrosidad del virus DNS Changer, [...] de difícil erradicación en los ordenadores afectados." Se acercaba la hora del supuesto apocalipsis. En aquel momento, nos dimos cuenta que en VirusTotal había una especie de "revival" del mismo malware que, en 2008 era muy popular. En febrero lo comprobábamos y, 7 meses después, vuelve a ocurrir. La mayoría de "DNSChangers" que llegan a VirusTotal en estos momentos, ya lo hicieron en 2008.



La operación del FBI

Una vez detectados todos los servidores DNS a los que redirigía a las víctimas, el FBI consiguió tomar el control de estas máquinas e hizo que resolvieran a las direcciones correctas. Esto significa que eliminó el principal objetivo del malware y que, a efectos prácticos, los usuarios que tuvieran modificados sus DNS, no experimentaban ningún síntoma. También les permitió conocer con cierta exactitud el número de víctimas, puesto que solo tenían que comprobar la cantidad de conexiones DNS establecidas en esos servidores. Pasaron de 800.000 IPs únicas infectadas a mediados de 2011 a 250.000 el día previo al apagón.


Para el despliegue mediático que se ha sufrido, estas cantidades nos parecen ridículas. Una vez más, si nos fijamos en Zeus (el malware más popular, sofisticado a nivel de usuario, y efectivo del momento) tenemos que Microsoft estima que en marzo de 2012 existían 13 millones de sistemas infectados en todo el mundo. Sin duda son muchos más, puesto que si algo tiene Zeus, es la capacidad de no ser detectado. Si a esto unimos las infecciones de SpyEye u otras botnets, DNSChanger queda en una anécdota.

¿Más datos? En mayo de 2011, abuse.ch publicó estas estadísticas.



Esta organización también toma el control de ciertos servidores usados por los atacantes. Los llaman "sinkholes". Son servidores a los que acude el malware a aprovisionarse de actualizaciones o bien a dejar datos robados. Los servidores "sinkholed" siguen respondiendo, pero lógicamente, no con la carga maliciosa. Así, sabiendo el número de visitas a estos sinkholes, pueden determinar el número de infectados. En esta gráfica vemos que, en solo 24 horas, se podían observar botnets de más de medio millón de IPs nuevas y únicas infectadas. Estos sistemas infectados, sin embargo, no suelen ser tratados de ninguna forma ni, mucho menos, desconectados de Internet. ¿Qué hay detrás del apagón a DNSChanger entonces? Lanzamos algunas teorías en la siguiente entrega.

Más información

How Big is Big? Some Botnet Statistics

DNS Changer – We’ll be redirecting customers

Last Day of DCWG Data

DNSChanger, una moda... ¿de 2008?

Microsoft Targets Zeus Botnets With Financial Services Partners





Sergio de los Santos
Twitter: @ssantosv

No hay comentarios:

Publicar un comentario en la entrada