Investigadores de Blue Coat Security Labs analizaron 660 millones de nombres de dominio únicos que fueron solicitados por 75 millones de usuarios de todo el mundo en un periodo de 90 días. Los investigadores notaron que 470 millones (71%) de esos host sólo existieron por un periodo de 24 horas, algo que la empresa de seguridad refiere como "One day Wonder (éxito de un día)" en un nuevo estudio.

Redes de distribución de contenidos, optimización de rendimiento de la web y blogs son los principales causantes de One-day Wonder, dijo Tim Van Der Horst, investigador senior de amenazas de Blue Coat Systems, por correo electrónico el martes para SCMagazine.com.

Sin embargo, los One-day Wonders también se utilizan con propósitos maliciosos.

Observando el top 50 de los principales dominios que producen One-day Wonder, los investigadores notaron que el 22 por ciento eran maliciosos, lo que significa que pudieron haber sido usados para ataques, manejo de botnets o evasión de filtros web y spam.

El dominio principal número 12, un dominio .info, es un servidor command-and-control para un Troyano que tenía más de 1.3 millones de subdominios en un periodo de 90 días."Es otra manera de decir que ésta es la comunicación de los bots a su infraestructura de command-and-control", dijo Van der Horst.

Una de las principales razones por las que los One-day Wonder son tan populares entre los atacantes es que los dominios dinámicos son más difíciles de detectar que los dominios estáticos, de acuerdo al reporte.

"Los dominios estáticos pueden ser frustrados con una lista negra; los dominios dinámicos pueden rotar con tal frecuencia que el ciclo de actualización de la lista negra no podría mantenerlos en ella", dijo Van der Horst. "En el peor de los casos, los dominios son de un sólo uso, por lo que agregarlos a la lista negra es inútil".

Los atacantes adicionalmente utilizan el One-day Wonder para evitar ser detectados, ya sea mediante la acumulación de un gran número de dominios esperando que algunos no sean detectados o bien, mediante el uso de cifrado y envió de malware e información robada a través de SSL, indicó el reporte.

La aplicación de inteligencia en tiempo real puede ser una forma de mitigar la amenaza que representa un One-day Wonder.

"Los módulos en tiempo real pueden evaluar amenazas potenciales cuando se les solicite, en lugar de esperar la actualización de una base de datos", mencionó Van der Horst. "Dado que los One-day Wonder son efímeros, la latencia de las detecciones no realizadas en tiempo real limita significativamente su efectividad".

Los controles de políticas granulares pueden ser otra opción.

"Proxies sofisticados y otros mecanismos de defensa basados en red pueden aplicar finas reglas o políticas para ayudar a proteger a los sistemas conectados en la red. A medida que el nivel de seguridad de las organizaciones puede variar ampliamente, la política se puede ajustar dependiendo de las necesidades específicas de la organización", dijo Van der Horst.