Los algoritmos de generación de dominio son cada vez más usados para evadir los filtros de red, y proteger a las botnets de intentos de desmantelamiento.

Los autores de malware adoptan cada vez más los algoritmos de generación de dominio (DGAs) para evadir la detección y prevenir que sus botnets sean desmanteladas por expertos en seguridad o instancias legales.

Los DGAs se usan generalmente como un mecanismo alternativo para enviar instrucciones para infectar computadoras cuando los servidores codificados de Comando y Control (C&C) están inaccesibles.

Los algoritmos generan diariamente una lista de nombres de dominio únicos casi al azar Los clientes en una botnet intentan conectarlos y recibir comandos cuando los servidores primarios no puedan estar disponibles.

Conocer el algoritmo permite a los autores de malware predecir qué nombres de dominio infectaron computadoras, intentarán acceder a ciertos datos, pudiendo registrar uno de ellos por adelantado.

El infame gusano Conficker usó un algoritmo de generación  de dominio para recibir instrucciones de sus creadores. Esta técnica atrajo la atención pública por cierto tiempo en 2009.

Módulos DGA están disponibles en el mercado

Sin embargo, los DGAs han avanzado considerablemente desde entonces, dice Gunter Ollmann, vicepresidente de investigación del proveedor de seguridad en redes, Damballa. Según indica, existe una tendencia en el desarrollo de malware que implementa DGAs para evadir sistemas de seguridad que confían en la reputación del nombre de dominio, listas negras o firmas.

Los módulos comerciales de DGA están disponibles para algunos de los más populares kits de crimeware, como ZeuS, lo cual significa que cada botnet basada en ellos contactará a su propia lista de nombres de dominio.

Esto hace muy difícil poder derribarlas, especialmente para las autoridades judiciales, las cuales tienen poco tiempo, cerca de 24 horas, para investigar un servidor C&C, dice Ollmann.

En el momento en que las autoridades obtienen una orden y toman temporalmente el control de un dominio para realizar pruebas forenses, los cibercriminales podrían haber ya montado uno nuevo.

Seis nuevas familias de malware usan ahora DGA

Incluso los proveedores de seguridad sufrieron un tiempo para identificar el uso de DGAs en ciertos tipos de malware o estimado para determinar un método de detección, señala Ollmann.

Damballa estudió los DGAs el año pasado, y planea presentar un estudio de investigación al respecto durante la RSA Conference 2012 en San Francisco.

La compañía identificó seis nuevas familias de malware que usan DGA para efectos de evasión en un periodo de 12 meses. Las familias de malware son usadas por decenas de organizaciones cibercriminales.

Se descubrieron seis tipos adicionales de DGAs a través de las redes, lo que no está claro es para lo que están siendo utilizadas estas familias de malware, ya que las muestras podrían no ser obtenidas de clientes infectados.

La disponibilidad del código fuente de ZeuS en internet, y la necesidad de los criminales de proteger sus botnets de los desmantelamientos parecen estar presionando más a los desarrolladores de malware para que adopten DGAs en el futuro, finaliza Ollmann.