Les techniques de bullet-proof hosting ou de DNS fast-flux utilisées par les spammers pour conserver actifs leurs sites web même sous le feu de la communauté sécurité seraient à mettre au placard.
Un défaut dans la cuirasse:
Ces deux techniques avaient cependant un défaut commun L’URL d’accès au site web restait la même. Il suffisait que le nom de domaine ou que l’URL entière soit listée dans une ou plusieurs bases de réputation et la navigation vers celle-ci était bloquée au niveau des navigateurs. Je vous rassure tout de suite Les hébergeurs complaisants et les techniques de redondance dynamique de serveurs de résolution de noms DNS restent bien présents dans l’arsenal des cybercriminels.
Un nom de domaine par jour:
Une solution très simple a été trouvée à ce défaut Utiliser un nom de domaine pendant un voir 2 jours maximum et en changer. C’est ce qui a été constaté par M86 Security Labs dans leur dernier rapport d’analyse PDF qui analyse les tendances et techniques des cybercriminels sur le 1er semestre 2010. Après avoir analysé les liens présents dans les mails de spam reçus sur une durée de 60 jours, près de 70pourcents des noms de domaines utilisés ne sont utilisés que durant une journée ou moins… Game-over pour les systèmes de filtrage d’URL off-line Leur conclusion est assez simple Tout système de filtrage basé sur l’analyse des noms de domaine doit fonctionner en temps-réel, car même une synchronisation quotidienne est devenue insuffisante.
Source: SecuObs via OrangeBusiness