“DNS: Internet Dial-Tone”; Partiendo de esta premisa y con la vista puesta en el método de distribución de ‘malware’ presentado en 2011 (Cloud Malware Distribution), intentaremos mostrar de forma dinámica los resultados obtenidos después de algunos meses de trabajo focalizado en las comunicaciones, tanto en la parte de control como en la fuga de información, de las ‘botnets’. Por supuesto con el protocolo DNS con un papel protagonista. Jugaremos con tres parámetros fundamentales que tendremos que equilibrar:
Nivel de exposición de la infraestructura del atacante.
Recursos y complejidad.
Ancho de banda en la comunicación.
El objetivo final es concienciar de la importancia de poner el foco en este protocolo como se ha hecho en otros. Nuestros resultados, y los resultados obtenidos por proveedores de seguridad e investigadores en los últimos meses avalan la posición que defendemos.
20. Stateless%malware%(I)%
• TSPY_ZBOT.SMQH
– Another Modified ZeuS Variant Seen in the Wild.
– Reported in September 2011 by Trendmicro.
– Data exchange is also now happening in UDP.
– http://blog.trendmicro.com/another-modified-zeus-variant-seen-in-the-wild/
24. Feedorbot%
• Using DNS protocol.
– Feedorbot share encrypted commands from C&C.
– Encapsuling data in TXT records and Base64 encoded.
– http://www.cj2s.de/On-Botnets-that-use-DNS-for-Command-and-Control.pdf
26. Morto%
• From IRC to DNS.
– Morto, like Feedorbot, uses TXT records to comnunicate.
– http://www.symantec.com/connect/blogs/morto-worm-sets-dns-record