Malware, APT y dominios que resuelven a localhost

Quizás el título sea un poco atrevido, pero espero que después de la lectura entendáis porque he puesto este título.

Hace días publicaba por aquí el tema del passive DNS. He seguido analizando malware y registrando que dominios resuelven a que IP por lo que la base de datos ha ido creciendo y he visto algo interesante que quería compartir.

p_DNS

El proyecto del passive DNS tiene un index.php desde el que podremos consultar los dominios que se han resuelto y cuantas veces se han resuelto estos dominios.

Podemos ver ejemplos de búsquedas de dominios relacionados con Microsoft.

p_DNS2

O por ejemplo malware que hayan enviado un correo por pasarelas de correo del estilo mail.ru

p_DNS3

Pero una de las cosas que mas me ha sorprendido son aquellos dominios que resuelven a localhost.

Aquí tenéis un ejemplo:

p_DNS4

Investigando porque esto era así y porque pasaba con ciertas piezas de malware al final al final se llega a las siguientes conclusiones

Casos de ataques

Uno de los casos plausibles es cuando los malos inician una campaña, distribuyen la muestra pero la ventana de ataque es más pequeña, por lo que cambian el registro y lo dejan a localhost.

Ataques dirigidos =! APT ?¿?¿?

Se han visto casos en los que, grupos de hacking de origen chino usan ciertos dominios a los que luego le cambian la IP igual que pasa con los dominios usados en las campañas de malware que cambian el registro. Cuando van a investigar el dominio puede que resuelva a la IP original, pero cambien el dominio a localhost.

Dominios desactivados por el ISP

Se da el caso de que si encuentran un dominio que esté ligado a una campaña de phishing o relacionado con una botnet, que desactiven el dominio y lo cambien a localhost.

¿Y vosotros que pensáis? ¿Porque creéis que ocurre esto?


Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES