In un precedente post accennavo al sistema utilizzato per diffondere malware attraverso una rete botnet cioe' una rete di computer che, a causa di falle nella sicurezza o mancanza di attenzione da parte dell'utente o dell'amministratore di sistema sono infettati da malware che consente di controllare il sistema da remoto.
Come abbiamo visto, una tecnica molto usata e' quella di utilizzare la rete botnet ruotando gli indirizzi DNS delle macchine infette (tecnica FAST-FLUX).
L utilizzo di Fast-flux pero' non e' solo limitato alla diffusione di malware (che a sua volta genera nuovi computers infetti) ma Fast Flux e' anche utilizzato per supportare siti di spam che propongono ad esempio acquisto di medicinali di vario genere o contenuti per adulti.
Vediamo un esempio pratico.
Su internet si trovano parecchi falsi siti cosiddetti di 'Pharmacy" che reclamizzano vendite di falsi medicinali e che si pubblicizzano attraverso mails di spam.
Uno di questi e' rxpillsoffice.com registrato a HONG KONG.
Come abbiamo visto, una tecnica molto usata e' quella di utilizzare la rete botnet ruotando gli indirizzi DNS delle macchine infette (tecnica FAST-FLUX).
L utilizzo di Fast-flux pero' non e' solo limitato alla diffusione di malware (che a sua volta genera nuovi computers infetti) ma Fast Flux e' anche utilizzato per supportare siti di spam che propongono ad esempio acquisto di medicinali di vario genere o contenuti per adulti.
Vediamo un esempio pratico.
Su internet si trovano parecchi falsi siti cosiddetti di 'Pharmacy" che reclamizzano vendite di falsi medicinali e che si pubblicizzano attraverso mails di spam.
Uno di questi e' rxpillsoffice.com registrato a HONG KONG.
L'uso della tecnica Fast-Flux diventa evidente se andiamo a monitorare per un po di tempo i risultati di un whois del sito in questione.
Questa tabella, ottenuta temporizzando un whois attraverso un piccolo script autoit ci mostra come varia l IP del sito rxpillsoffice.com nel tempo.
A differenza della situazione riportata nel post riguardo ai siti con malware come esempio storm dove l'ip cambiava rapidamente,( pochi secondi) in questo caso vediamo che l intervallo prima di un cambio IP e' di circa 5 minuti e gli ip che ciclano nell intervallo di tempo sono abbastanza pochi.(quasi tutti gli ip si ripetono )
Edgar
Questa tabella, ottenuta temporizzando un whois attraverso un piccolo script autoit ci mostra come varia l IP del sito rxpillsoffice.com nel tempo.
A differenza della situazione riportata nel post riguardo ai siti con malware come esempio storm dove l'ip cambiava rapidamente,( pochi secondi) in questo caso vediamo che l intervallo prima di un cambio IP e' di circa 5 minuti e gli ip che ciclano nell intervallo di tempo sono abbastanza pochi.(quasi tutti gli ip si ripetono )
Nessun commento:
Posta un commento