W końcu ktoś zauważył, co jest najbardziej skuteczne w walce z bonetami. Jak można przeczytać tutaj, belgijska instytucja zajmująca się rejestracją domen (głównych, .be) zlikwidowała 163 domeny wykorzystywane do sterowania botnetami (także fast-fluxowymi).
Co to jest DNS blackholing? A to taka technika obrony (i ataku, ale o tym może kiedy indziej) w której na zapytanie o hosta w domenie odpowiadamy dowolnym adresem IP (najczęściej 127.0.0.1), co skutecznie dezaktywuje boty próbujące łączyć się do domu. Krótką prezentację o DNS blackholingu przygotowaną na potrzeby jednej konferencji można obejrzeć tu. Szczegóły techniczne można doczytać w prezentacji, więc nie będę się tutaj powtarzać.
W skrócie, jeżeli komuś nie chce się oglądać prezentacji: po udanej infekcji malware próbuje się połączyć do serwera C&C pytając legalnych DNSów o jakiegoś hosta w jakiejś domenie. Po uzyskaniu adresu IP łączy się tam na określony port. I tutaj jest pole do zastosowania blackholingu: jeżeli bot zapyta gdzie jest jego serwer C&C i dostanie w odpowiedzi adres 127.0.0.1, to będzie próbował się tam połączyć. Oczywiście mu się nie uda, i nie będzie groźny. Oczywiście komputer będzie dalej zainfekowany, ale bot już z nikim się nie skontaktuje. Skuteczna technika, nawet bardzo skuteczna. W prezentacji jest pod koniec slajd o skuteczności z życia wziętej.
Belgowie zastosowali bardziej brutalną formę dns blackholingu – wyłączyli domeny. Chwali się, bo teraz źli hak0rzy będą raczej szukali bardziej stabilnych domen w innych krajach. Jeżeli inne podmioty rejestrujące zareagują w podobny sposób w końcu Złym zostanie tylko .ru i podobne ;-).
Przy okazji, taka taktyka bardzo by się przydała w jednym przypadku naszej rodzimej domeny, Która Ciągle Działa. Jest sobie taka jedna domena, z galaktyką i gwiazdą w nazwie. Lepiej o niej nie mówić głośno, bo może się okazać, że nasz dzielny hosting oberwie paroma gigabitami pakietów [-:. Pod tym adresem wisi sobie serwer C&C całkiem sporego botnetu. A nasza władza nic nie robi, bo nie ma poszkodowanych. Przepiękne to jest w naszym prawie. Ponieważ włamanie do komputera nie jest ścigane z urzędu, tylko na wniosek pokrzywdzonego, jeżeli nie ma pokrzywdzonych – to mimo oczywistych znamion czynu przestępczego nie ma jak ścigać winnych (no, bo przecież ich nie ma i pętla się zamyka). A gdyby im tak domenę zgasić, to botki trafi szlag. Ale niestety, życie, przyroda, czy co tam wolicie.
9 komentarzy do
14 lutego, 2009 o godzinie 17:36
Wszystko fajnie i w ogóle. Raczej nic w mojej sieci się nie dzieje (choć raz się niestety zdarzyło), ale skąd te domeny pobrać? Bo link w prezentacji cosik nie działa.
14 lutego, 2009 o godzinie 21:40
hmm, rzeczywiście jest błąd w adresie. Powinno być http://www.malwaredomains.com, a konkretnie ta strona. Prezentację poprawię przy okazji, dzięki za info.
26 lutego, 2009 o godzinie 15:48
jaki jest adres tej strony … ;)
26 lutego, 2009 o godzinie 18:19
Jeden z częściej używanych to: proxim.ircgalaxy.pl – aktualnie Chiny
17 kwietnia, 2009 o godzinie 21:52
“Co to jest DNS blackholing? A to taka technika obrony (i ataku, ale o tym może kiedy indziej)”
- Ataku? hmm w jaki sposób można prosić o jakiś link szerzej opisujący atak za pomocą DNS Blackholing?
17 kwietnia, 2009 o godzinie 22:04
przejmując kontrolę nad DNSem można atakować userów np. phishingiem, udawać serwery pop3 i smtp dowolnych domen i polować na hasła które lecą czystym tekstem, podmieniać reklamy googla na własne, itp, co tylko wymyślisz a co korzysta z dnsa. Jednego linka do tego nie ma, bo to taki zestaw różnych jadowitych możliwości.
17 kwietnia, 2009 o godzinie 22:51
Uhh. Mam rozmieć, że każda modyfikacja demona DNS nazywana jest DNS Blackholingiem.
17 kwietnia, 2009 o godzinie 22:59
E, nie. Tutaj bardziej chodzi o specyficzny sposób manipulacji DNSem, który może być wykorzystane w dobry sposób (wyłączenie nie swojej domeny) lub w zły (czyli wykorzystanie tej samej techniki w celu czynienia ZUA)
11 czerwca, 2010 o godzinie 08:36
[...] ze szkodnikami w zarządzanej przez nas sieci. Zasady działania opiszę po krótce cytując swój tekst z tego bloga: Co to jest DNS blackholing? A to taka technika obrony (i ataku, ale o tym może kiedy [...]