Recientemente publicamos en Una-al-día nuestra colaboración con ESET para la monitorización y cierre de una red de robo de información en Latinoamérica. Sobre este tema hemos recibido muchas consultas pidiendo información sobre el sinkhole que realizamos. Hoy vamos a explicar qué es un sinkhole, cómo se realiza y cómo sacar provecho de esta técnica.
Un sinkhole, a grandes rasgos, consiste en la toma de control de una red de equipos infectados. "Un sinkhole de DNS, permite a investigadores, fuerzas de seguridad y otras entidades, redirigir el tráfico de los equipos infectados, para evitar que los cibercriminales tengan el control y puedan robar la información que hay en ellos".
Todo malware espía que se precie, en algún momento de su existencia, ha de comunicarse con su propietario (no tiene porque ser su creador) para hacerle llegar la información de la colecta del día. Es en el punto en el que la información sale del propio proceso, en el que se encuentra más expuesta a ojos ajenos. Y aquí es donde entra en juego el uso del "sinkholing". La primera fase consiste en la toma de control de los puntos de conexión del malware con el atacante; es decir, el núcleo de su infraestructura. Una vez se controlado el flujo del tráfico, se pasa a la fase de recolección y tratamiento de la información capturada por el "sinkhole".
LEER MAS: http://unaaldia.hispasec.com/2015/09/sinkholing-controlando-al-enemigo.html