La empresa de seguridad Symantec ha detectado durante las últimas semanas que este tipo de prácticas ha ido en aumento. Estas son utilizadas principalmente cuando se quiere prolongar la vida de una botnet y que esta siga realizando la función de continuar atacando a los ordenadores vulnerables.
Lo que hizo levantar las sospechas fue que esta técnica se utilizó recientemente en un ataque que se basaba en descargas sin consentimiento de los usuarios, al que además añadieron un conjunto de exploits de Black Hole para infectar finalmente el ordenador.
Aunque tanto empresas de seguridad como los encargados del registro de dominios trabajan de forma conjunta para tratar de parar la proliferación de estos sitios, los creadores de este tipo de amenazas ya han conseguido encontrar la fórmula para saltarse estos problemas.
Entrando un poco más en detalle, los paquetes de exploits utilizados se encargaban de llevar a cabo una verificación de los complementos que el usuario tiene instalado en el navegador y buscar si alguno de ellos es vulnerable para llevar a cabo la ejecución del código malicioso. A partir de ahí, al software malicioso se le comunicaba los correspondientes servidores de dominio para que pudiese funcionar y llevar a cabo su labor.
Sin embargo, debido a las medidas tomadas esto ahora no resulta tan fácil.
Nombres de dominio autogenerados
Debido a los esfuerzos por dar de baja los servidores de comando y de control de las botnets, muchos de los autores han encontrado una clara alternativa en este mecanismo. Cuando los servidores de control se vuelvan inaccesibles, la botnet ya posee una lista de dominios reservados sin registrar, pero podrá hacerlo siempre que sea necesario y del número que necesite, indicando de forma adelantada a que dominios se deben acceder.
Sentando las bases para el futuro
Desde Symantec indican que es probable que se estén haciendo las bases para una nueva técnica que podría ser utilizada en un futuro muy próximo. Además añaden que aunque se conozca, es muy difícil de predecir y de actuar al momento, por lo que es prácticamente imposible desactivar un servidor de control sin que llegue a estar disponible un tiempo.
Una vez más, podemos comprobar que los hackers y ciberdelincuentes son capaces de adaptarse a cualquier circunstancia, por complicada que parezca.
Fuente | TechWorld
LEIDO EN :http://www.redeszone.net/2012/06/30/symantec-detecta-generaciones-automaticas-de-dominio/