Nueva característica en VirusTotal que ayuda a seguir dominios basados en Blockchain

El año pasado el gigante Microsoft asestó un golpe a TrickBot del que nos hicimos eco en este medio (enlace a noticia del 15 de octubre de 2020). Pese al cierre de dominios y servidores TrickBot operativos, los investigadores avisaban: “esta operación podría tener sólo impacto a corto plazo, debido fundamentalmente a dos factores: el uso de EmerDNS y Tor”. Las ventajas de Tor para los cibercriminales son ya más de conocimiento común pero, ¿Qué ocurría con EmerDNS?

EmerDNS es un sistema de nombres de dominio descentralizado que protege ante cualquier tipo de censura. La solución que hay por debajo de este tipo de servidores de dominio es blockchain, y la búsqueda y reserva de dominios se hace a través de la blockchain de Emercoin, una solución privada. Los dominios no pueden ser alterados, revocados o suspendidos por ningún usuario que no sea el propio creador del dominio. Es, de hecho, una característica que ya emplean varias familias de malware, una muy representativa es BAZAR.

No es algo nuevo, ya en 2018 se alertaba de este tipo de prácticas. En el artículo “How cybercriminals are using Blockchain DNS: From the Market to the Bazar” encontramos una buena síntesis.

Lo que complica el asunto es que, a diferencia de los dominios centralizados, dependientes de IANA y compañía, los DNS basados en blockchain dependen de claro, la blockchain en particular para conocer detalles del registro de ese dominio y demás. No todas las soluciones descentralizadas, o dicho de otra forma, que emplean DNS alternativos, se basan en blockchain, pero las más efectivas sí.

¿Cómo podemos saber si una muestra de malware está usando estos dominios? Pues hasta ahora conociendo el problema y yéndonos a buscar información sobre los dominios en cuestión. Pero el viernes, una grata sorpresa apareció en VirusTotal para l@s más curios@s: tenemos un nuevo tag (alternative-dns) que destaca los dominios que están empleando servidores DNS alternativos, así que, mientras hacemos nuestros análisis podemos ver información sobre los dominios más rebeldes, aquellos que pueden tener casi cualquier nombre (depende de la solución en particular). Esta característica no sólo destaca y resuelve dominios .bazar, sino también dominios “bit, coin, dyn, geek, null, o, oss, emc y lib”, conforme nos cuenta Marta Gómez (@Mrs_DarkDonado), responsable de su implementación.


Consulta en VirusTotal para el dominio bestgame.bazar

Aunque la característica es muy reciente, comienzan a aparecer poco a poco más dominios etiquetados, facilitando la labor y búsqueda de los analistas interesados en esta peculiar característica.

Fuente noticia: unaaldia.hispasec.com
Fuente foto: unaaldia.hispasec.com
¿Te gustó este artículo? Compártelo!Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *