Para eliminar un sitio web malicioso (que distribuye malware o suplanta la identidad de otro), es necesario realizar un análisis de éste para informar adecuadamente a la autoridad competente para su desactivación.
En el presente artículo se plantea la utilización de RIPE Atlas, que utiliza sondas distribuidas globalmente, para determinar la persistencia y el alcance geográfico de un sitio malicioso.
Información clave para investigar un sitio malicioso
Una investigación sobre un sitio malicioso debe recabar al menos la siguiente información:
Fechas relevantes: descubrimiento, creación de dominio, eliminación, etc.
Dominio/s
URL
Direcciones IP
Código fuente
Captura de pantalla o videos del comportamiento
Diferentes contactos: Registrante del dominio, propietario de la IP, CSIRTs/CERT, etc
A veces, los ataques de phishing o sitios maliciosos emplean mecanismos que dificultan su eliminación, como el uso de CDN o servicios de hosting con protección de identidad para el propietario del sitio o el acceso restringido al phishing desde ubicaciones geográficas específicas.
Al momento de reportar el sitio malicioso es recomendable agregar en el reporte desde qué ubicación geográfica se puede acceder al contenido malicioso. Esto es importante para que el receptor del reporte pueda reproducir de alguna manera el comportamiento indeseable que le estamos indicando en nuestro reporte.
Existen diferentes maneras de observar desde qué ubicaciones es posible acceder al contenido malicioso. Podría usarse servicios VPN o proxys, que brindan una IP del país que queremos verificar el comportamiento malicioso. En este artículo desarrollaremos cómo utilizar RIPE Atlas para tal fin.
(Acceso libre, no requiere suscripción)
¿Qué es RIPE Atlas y cómo puede ayudarte a analizar sitios maliciosos?
RIPE Atlas es una red de sondas distribuidas globalmente que miden continuamente la accesibilidad y el rendimiento de Internet, proporcionando información técnica sobre su funcionamiento. Esta red de sensores permite realizar mediciones personalizadas a destinos específicos. Los distintos tipos de mediciones que pueden realizarse son:
PING
Traceroute
DNS
TLS
HTTP (solo análisis de anchors)
NTP
A continuación hablaremos de una característica interesante de este proyecto que es el acceso geográfico de las distintas sondas al objetivo deseado. Es decir, conociendo desde donde se realizó la medición podemos conocer si el sitio es accesible o no desde esa región del mundo. Con esta característica podemos identificar si el phishing tiene un objetivo geográfico destinado para su ataque.
Uso de RIPE Atlas para analizar sitios maliciosos
Para analizar sitios web maliciosos, disponemos de 4 métodos: PING, Traceroute, DNS y TLS. Cada uno de estos tiene sus ventajas y desventajas.
¿Qué es RIPE Atlas y cómo puede ayudarte a analizar sitios maliciosos?
RIPE Atlas es una red de sondas distribuidas globalmente que miden continuamente la accesibilidad y el rendimiento de Internet, proporcionando información técnica sobre su funcionamiento. Esta red de sensores permite realizar mediciones personalizadas a destinos específicos. Los distintos tipos de mediciones que pueden realizarse son:
PING
Traceroute
DNS
TLS
HTTP (solo análisis de anchors)
NTP
A continuación hablaremos de una característica interesante de este proyecto que es el acceso geográfico de las distintas sondas al objetivo deseado. Es decir, conociendo desde donde se realizó la medición podemos conocer si el sitio es accesible o no desde esa región del mundo. Con esta característica podemos identificar si el phishing tiene un objetivo geográfico destinado para su ataque.
Uso de RIPE Atlas para analizar sitios maliciosos
Para analizar sitios web maliciosos, disponemos de 4 métodos: PING, Traceroute, DNS y TLS. Cada uno de estos tiene sus ventajas y desventajas.
Consideremos un sitio web malicioso básico, compuesto por un dominio y, opcionalmente, una ruta simple. Por ejemplo: http[s]://example.com/recurso_malicioso.
Para realizar estas tareas, es necesario disponer de una cuenta enhttps://atlas.ripe.net/. Tras acceder, dirigirse a “Measurements” y luego a “Create Measurement”, lo que abrirá la siguiente página web:
Seleccionar la herramienta deseada: PING, Traceroute, DNS o TLS. Las particularidades de cada método se explicarán a continuación.
Se eligen las sondas deseadas, procurando una distribución geográfica uniforme. La selección puede realizarse de forma manual sobre un mapa o de manera aleatoria. Por defecto, se establece una única medición, mostrando a continuación el costo en créditos.
Luego de crear la telemetría las sondas comenzarán a realizar las mediciones para darnos los resultados. Tener en cuenta que el tiempo total de los resultados depende de que todas las sondas realicen la actividad solicitada. Antes de ver estos resultados, se describirán las diferencias entre utilizar los diferentes métodos.
PING
Son mensajes ICMP pero distribuidos entre las sondas. Esta medición es útil cuando queremos conocer desde qué sondas se puede acceder a la IP sospechosa. Tener en cuenta que esta opción es útil en los casos donde el contenido malicioso está alojado en una única IP que no comparte contenido.
Es interesante su uso mediante la programación de un escaneo periódico para conocer si la IP continúa activa. Es clave recordar que no todos los servidores responden ICMP, hay que realizar pruebas locales antes de medir el sitio malicioso con Atlas.
DNS
Es una opción interesante ya que permite realizar mediciones DNS muy personalizadas. Esto es útil para estudiar cómo varían las respuestas dependiendo de la región geográfica de los sensores. La medición puede ser programada de manera periódica para conocer la evolución de las direcciones IP que van usando los atacantes así como monitorear el tiempo de vida del dominio malicioso.
Esta opción resulta valiosa para efectuar mediciones DNS altamente personalizadas, lo cual facilita el análisis de la variabilidad de las respuestas según la ubicación geográfica de los sensores. Adicionalmente, la programación periódica de estas mediciones permite rastrear la evolución de las direcciones IP utilizadas por atacantes y supervisar la vida útil de dominios maliciosos.
Traceroute
Con esta opción, las sondas ejecutarán la tradicional prueba de traceroute, que consiste en enviar una secuencia de paquetes ICMP, UDP o TCP con valores crecientes del campo TTL (Time To Live) hasta alcanzar el destino. Para nuestra medición, nos interesa seleccionar el protocolo TCP y utilizar el puerto 80 o 443, dependiendo de si el sitio malicioso utiliza HTTP o HTTPS, respectivamente. También debemos elegir entre IPv4 o IPv6, según corresponda. Es posible registrar varias mediciones dentro de una misma transmisión de telemetría; por ejemplo, podemos hacer dos clics en el botón Traceroute, seleccionando IPv4 en uno e IPv6 en el otro.
TLS
Esta funcionalidad permite analizar certificados de sitios maliciosos para determinar su estado, actividad y ubicación geográfica. Además, identifica dominios relacionados y extrae la huella digital de los certificados para su posterior análisis con otras herramientas.
Interpretación de datos y casos reales de análisis
Una vez realizadas las mediciones con RIPE Atlas, es fundamental interpretar correctamente los resultados obtenidos para identificar patrones de comportamiento sospechoso o confirmar indicios de actividad maliciosa.
En esta sección, se analizarán los datos recopilados mediante las opciones TLS, Traceroute y DNS. Para ejemplificar estos análisis, se eligió un caso práctico de un sitio de suplantación de identidad (phishing), y se efectuaron mediciones desde diversas sondas con distribución global. Estas mediciones permiten:
Detectar si el dominio sigue activo o ha sido desactivado.
Verificar si responde desde todas las regiones o si aplica bloqueos geográficos.
Analizar la infraestructura de red utilizada por los atacantes.
Examinar los certificados digitales usados para identificar posibles patrones o vínculos con otras campañas.
Análisis caso de phishing real
A continuación, se ilustra el uso de la función de programación periódica de mediciones con un ejemplo. Consideremos un caso de phishing dirigido a la población uruguaya para demostrar su funcionamiento.
Este phishing suplanta la identidad de la oficina de correos nacional de Uruguay con el objetivo de robar datos personales y números de tarjeta de crédito.
Una vez reunida la información relevante, se elaboran y envían diversos informes a las entidades pertinentes para la eliminación del sitio malicioso, incluyendo CERT y contactos de abuso de Whois.
Se efectúa una medición DNS con RIPE Atlas cada 10 minutos durante 4 días para analizar la vigencia de los dominios, incluyendo su asignación de IP y posibles alteraciones. Se realizan dos mediciones: una para registros A (IPv4) y otra para registros AAAA (IPv6).
El resultado se puede apreciar en el siguiente gráfico:
Aproximadamente a las 17:38 UTC se reportó el caso de phishing a las distintas entidades involucradas. Las sondas seleccionadas mostraron tiempos de respuesta DNS inferiores a 300 ms.
Una hora después del reporte, 11 sondas dejaron de resolver la IP del dominio. Algunas resolvieron direcciones IP tipo blackhole, lo que podría indicar el uso de DNS con protección que bloquearon el acceso al sitio de phishing.
Tras 90 minutos de medición, la mitad de las sondas dejaron de resolver el dominio. Poco después, la resolución falló en todas las sondas, indicando el fin de la actividad maliciosa en ese dominio.
La medición se detuvo al confirmarse la ausencia de respuesta IP del dominio. Sin embargo, podría extenderse para rastrear una posible reactivación del dominio bajo otra dirección IP.
Es importante señalar que, durante el periodo de actividad, las sondas nunca resolvieron direcciones IPv6 para el sitio malicioso.
Casos de Uso
El uso de RIPE Atlas en este tipo de investigaciones aporta un enfoque nuevo y práctico gracias a sus sensores geográficamente distribuidos. A continuación, se detallan sus principales aplicaciones, limitaciones y extensiones posibles.
Análisis de dominios y direcciones IP maliciosas:
RIPE Atlas permite observar cómo se resuelven y responden dominios utilizados en campañas de phishing o distribución de malware desde diferentes regiones del mundo. Esto es útil para identificar campañas dirigidas geográficamente o para documentar evasión selectiva de detección.
Detección de bloqueo geográfico:
Al distribuir mediciones desde sondas ubicadas en distintos países, es posible detectar si un sitio web malicioso aplica restricciones regionales, mostrando su contenido solo a usuarios de ciertas ubicaciones.
Seguimiento de cambios de infraestructura:
Mediciones programadas (como DNS o Traceroute) ayudan a rastrear cambios en la infraestructura de los atacantes, como modificaciones de direcciones IP, rutas de red o servidores DNS.
Obtención de información técnica para reportes de incidentes:
Los datos obtenidos con RIPE Atlas complementan los reportes técnicos de seguridad, facilitando el análisis por parte de CSIRTs, CERTs, hostings o registradores de dominios.
Complemento a otras herramientas:
RIPE Atlas puede integrarse con otras plataformas, para correlacionar datos de certificados TLS recolectados con otras fuentes abiertas y enriquecer el análisis.
Monitoreo de dominios amenazantes:
RIPE Atlas permite la medición de dominios que podrían ser utilizados para realizar ataques contra nuestras organizaciones. Un ejemplo de esto son los ataques IDN homomórficos, donde un dominio similar al nuestro, con caracteres parecidos, se usa para suplantación.
Limitaciones
Es importante tener presente que la actividad principal de los sitios web ocurre en las capas superiores del modelo TCP/IP, especialmente en la capa de aplicación. Si bien las sondas de RIPE Atlas permiten realizar mediciones que alcanzan ciertos protocolos de esta capa, como DNS y TLS, su enfoque está limitado principalmente a pruebas de conectividad y resolución, sin interactuar con el contenido web en sí.
Esto representa una limitación importante: no es posible analizar directamente el comportamiento completo de un sitio web a nivel de aplicación, como formularios, redirecciones, protecciones por geolocalización o mecanismos de autenticación. Por lo tanto, si un sitio de phishing implementa restricciones o comportamientos dinámicos en su desarrollo web, estos no podrán ser evaluados únicamente con las herramientas que ofrece RIPE Atlas.
Conclusiones y llamado a la acción
El uso de RIPE Atlas ofrece una herramienta poderosa y geográficamente distribuida para el análisis técnico de sitios maliciosos, permite detectar campañas dirigidas, cambios en la infraestructura y comportamientos evasivos. Aunque no reemplaza otras herramientas más centradas en la capa de aplicación, complementa valiosamente los informes de incidentes al agregar evidencia distribuida y objetiva.
Es útil que investigadores, analistas de amenazas y equipos CSIRT utilicen RIPE Atlas en sus flujos de trabajo de análisis y reporte de incidentes. Su potencial para ofrecer evidencia técnica desde múltiples ubicaciones lo convierte en una herramienta útil frente a campañas de malware y phishing cada vez más sofisticadas. Además, animamos a automatizar las mediciones y a combinar sus resultados con otras fuentes, como motores de análisis de certificados o sistemas de reputación de dominios, para lograr un monitoreo más completo y eficaz.
Para una introducción detallada sobre RIPE Atlas, puedes ver la presentación realizada en el evento LACNIC 42:
