TDS (Traffic Director System) ©

Ediciones Roble S.L.

 Indice
TDS (Traffic Director System) 3
I. Introducción 3
II. Objetivos 3
III. TDS (Traffic Director System) 3
IV. Funcionamiento 4
4.1. Reglas 5
4.2. Distribución 6
V. Malware 9
5.1. Aplicación 9
5.2. Black Market 11
5.3. BlackTDS 14
VI. Resumen 18
Recursos 19
Enlaces de Interés 19
Bibliografía 19
Glosario. 19

2/19
 TDS (Traffic Director System)

TDS (Traffic Director System)

I. Introducción
Hoy en día, cada vez es menos común el uso deExploit-Kits (EK) como vector de entrada en las campañas de
malware. No obstante, es una amenaza presente y sobre la que la mayoría de los usuarios no tienen
conocimiento alguno. Si a este factor sumamos la poca preparación en seguridad que existe en el usuario de
Internet, es un vector de entrada efectivo para desencadenar infecciones de malware.

Si se enfoca esta situación desde la perspectiva de una organización, se tiene una amenaza real y casi
desconocida que es difícil de predecir puesto que no es fácil realizar un seguimiento de forma que se puedan
adaptar los sistemas de seguridad correspondientes para bloquear estas amenazas. Pero, ¿cómo llega este tipo
de amenazas a usuarios finales?

II. Objetivos
Con esta unidad, los alumnos conocerán el funcionamiento de unTraffic Director System, así como los
diferentes usos que se le puede dar. En este caso, nos centraremos en su aplicación al cibercrimen, ya que se
puede emplear para la redirección hacia sitios web con contenido malicioso, ya sea: click fraud, malware o
phishing que, como en otros casos, se suele realizar en conjunto con la ingeniería social.

III. TDS (Traffic Director System )

Antes de explicar el funcionamiento es preciso definir los conceptos previos que se muestran a continuación.

Tráfico web

Se define como tráfico web al conjunto de peticiones que genera un usuario, o incluso unbot, hacia una
determinada página web.

SEO

SEO consiste en un conjunto de técnicas utilizadas en el mundo web para mejorar el posicionamiento o
visualización de un determinado sitio web de cara a que sea más accesible desde los motores de búsqueda
habituales. De esta forma, se genera más tráfico web hacia estas páginas, recibiendo un mayor número de
visitas e incrementando ranking, ingresos u otro tipo de beneficios.

3/19
 TDS (Traffic Director System)

Una determinada empresa acaba de arrancar y ha creado su primer sitio web, puesto que aún no tiene
mucha visión en el mercado en el que se mueve, es necesario que empiece su andadura a través del mundo
online. Para llevar a cabo esta tarea, ya se han implementado varias técnicas SEO y se valora contratar un
TDS (Traffic Director System).

Puesto que en Internet existen millones de usuarios, cada uno con diversos gustos en cuanto a ocio,
tecnología, etc., existe la necesidad de implementar sistemas con la capacidad de decidir qué contenido es
más adecuado para cada usuario final.

Este sistema sería algo así como un script avanzado capaz de decidir en base a un histórico o parámetros,
qué contenido se adapta más al usuario del que está recibiendo tráfico web.

El siguiente gráfico muestra una representación a grandes rasgos de cómo un usuario podría acceder a
diverso contenido automáticamente sin tener que realizar búsquedas específicas.

Imagen 6.1. Smart System.

Fuente: elaboración propia CyberAcademy.

Identificada esta necesidad, es preciso implementar sistemas más complejos de cara a que se pueda
decidir con mayor precisión qué se debe mostrar exactamente a un determinado usuario. De esta forma,
estos scripts pasan a ser sistemas con bases de datos, interfaces web adaptables y otras características.

Con todo esto, se puede definir un Traffic Director System (TDS) como un sistema de gestión de tráfico
web que permite definir flujos de tráfico a diversos usuarios en función de unos parámetros de
comportamiento.

TDS es una característica utilizada en SEO que, al igual que el resto de técnicas, permite que un sitio web
sea más visible para cierto público de Internet. Su uso se ha extendido bastante y se ha convertido en una de
las técnicas más efectivas.

IV. Funcionamiento

4/19
 TDS (Traffic Director System)

4.1. Reglas
Como ya se ha descrito anteriormente, el flujo de tráfico web se realiza en función a unos parámetros de
usuario. Existen dos partes, por un lado, se tienen los parámetros de las peticiones web que identifican
comportamiento en tiempo real. Por otro lado, se tiene parte del histórico de navegación que se obtiene
mediante dominios de tracking.

Los parámetros de las peticiones son aquellos contenidos en las propias peticiones HTTP. Los más relevantes
son:

Localización en base a la dirección IP

Fecha y hora

Versión de software:

Navegador
Sistema operativo
Plugin/Addons

Otros campos:

Referers, cookies y proxy

La restricción de estos parámetros se traduce en reglas, es decir, se tienen en cuenta ciertos valores que
pueden tomar cada uno de ellos, como por ejemplo una dirección IP de un determinado país, ISP o incluso
rango. En base a esta información se implementan reglas más o menos complejas para poder redirigir tráfico
web de acuerdo a características de usuario.

Reglas

Imagen 6.2. Reglas.

Fuente: elaboración propia CyberAcademy.

5/19
 TDS (Traffic Director System)

Para cada regla se genera una dirección URL del sistema TDS a través de la cual se muestra el contenido
establecido. Esta dirección URL puede ser del propio dominio o subdominio del TDS o de dominios externos
como se verá más adelante.

4.2. Distribución
Una vez creado el criterio de redirección es necesario distribuir la dirección URL del TDS para que el
contenido configurado sea accesible.

Para la distribución se utilizan las zonas de anuncios u otras secciones de páginas web con muchas visitas a
través de las cuales se configuran las direcciones URL del TDS, que al fin y al cabo sonde direcciones URL
redirectoras.

Actualmente existen varios métodos de redirección entre sitios web tanto a nivel de sistema como a nivel web:
códigos 302 o 404, código JavaScript, tags HTML meta e iframe y fichero .htaccess entre otros.

En el siguiente ejemplo se ha definido un usuario que utiliza los siguientes datos de

navegación:

User-Agent = Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101

Firefox/47.0

Dirección IP - España

Histórico web: contenido relacionado con ropa y similares.

En base a esta información, se da el caso de que el usuario accede al sitio deportivo “as.com”. Con la
información de la que dispone el TDS, captada a través los trackers web para almacenar el histórico de
navegación de este usuario, se identifica que este normalmente visita websites relacionados con moda y
similares, por lo que el contenido del frame dedicado a anuncios, mostrará contenido de este tipo.

6/19
 TDS (Traffic Director System)

TDS

Imagen 6.3. TDS.

Fuente: elaboración propia CyberAcademy.

Aunque en el ejemplo anterior el contenido se muestra en una zona de la página web, en la mayoría de los
casos se producen redirecciones del site completo o incluso la aparición de pop-ups. Este tipo de acciones
dependen de la configuración del TDS y del sitio web.

El funcionamiento mostrado en el gráfico anterior es el más básico puesto que únicamente existe un TDS.
Existen otras implementaciones de estos sistemas en los que se encuentran redes TDS con diversos nodos para
distribuir la carga o características del tráfico.

Ejemplo BossTDS

El servicio BossTDS permite realizar demos en tiempo real de este tipo de servicio.

Imagen 6.4. BossTDS dashboard .

Fuente: elaboración propia CyberAcademy.

7/19
 TDS (Traffic Director System)

En este caso, se ha configurado una regla muy básica que únicamente redirige el tráfico hacia
“bing.com”. La siguiente figura muestra algunos de los parámetros configurables:

Imagen 6.5. BossTDS configuración regla.

Fuente: elaboración propia CyberAcademy.

8/19
 TDS (Traffic Director System)

El resultado de esta regla es una dirección URL de la siguiente forma:

hXXp://demotds.bosstds.com/in/demo1/

Esta sería la dirección URL que se debería distribuir para generar tráfico hacia el dominio/URL
configurado. El formato de la URL depende de cada TDS e incluso el dominio depende del hosting en el
que esté desplegado el sistema, como se ha mencionado en apartados anteriores.

Si se realiza un acceso se puede ver el siguiente tráfico:

Imagen 6.6. BossTDS redirección.

Fuente: elaboración propia CyberAcademy.

Imagen 6.7. BossTDS detalle redirección.

Fuente: elaboración propia CyberAcademy.

La respuesta por parte del TDS es la redirección mediante código 302 alwebsite configurado.

V. Malware

5.1. Aplicación
Teniendo en cuenta todas las características descritas anteriormente y como cualquier otro tipo de tecnología,
también se puede enfocar el uso de este tipo de sistemas al bando “malo”.

Si el funcionamiento legítimo consiste en redirecciones a páginas de anuncios o similares para obtener

beneficios por visitas, la parte ilegítima consiste en la redirección hacia websites con contenido malicioso, ya
sea: click fraud, malware o phishing, entre otros.

9/19
 TDS (Traffic Director System)

Imagen 6.8. Aplicación maliciosa de TDS.

Fuente: elaboración propia CyberAcademy.

Para lograr engañar al usuario, se utilizan, como siempre, técnicas de ingeniería social mediante las cuales se
muestran al usuario anuncios falsos, alertas de infección (scareware) o incluso portales falsos para la descarga
de supuesto software legítimo como puede ser Java, Adobe Flash o WhatsApp.

Normalmente este contenido es accesible desde páginas con baja reputación como pueden ser sitios de
pornografía, foros de venta de armas, drogas, etc. Aunque existe otro método más efectivo que es el uso de
páginas vulneradas en las que se introducen este tipo de redirecciones.

Imagen 6.9. Ejemplo de website malicioso.

Fuente: elaboración propia CyberAcademy.

10/19
 TDS (Traffic Director System)

A través de contenido similar al mostrado en la figura anterior se consigue que el usuario descargue binarios
para diferentes plataformas o incluso que sea redirigido a exploit kits para posteriormente ser infectado.

En la siguiente captura de tráfico se muestra un ejemplo de un website falso que contiene un Rig EK
detectado el día 27 de marzo de 2018.

Imagen 6.10. Exploit-Kit RIG.

Fuente: elaboración propia CyberAcademy.

Actualmente existen varios servicios comerciales de este tipo que se han ido orientando con el paso del
tiempo a hacer el mal, entre ellos destacan Keitaro TDS, Sutra TDS, Simple TDS y Advanced TDS, entre otros.

5.2. Black Market

Dentro del Malware as a Service (MaaS), existe la venta y alquiler de este tipo de servicio que son utilizados
muy a menudo cuando se van a lanzar nuevas campañas de malware. De hecho, cuando se publica el
lanzamiento de una nueva familia, es muy común identificar cómo el autor de dicho malware busca tráfico para
la distribución días antes de la fecha de lanzamiento.

Actualmente existen varios actores u organizaciones que comercializan servicios TDS en el mercado
underground. Uno de los más conocidos es el servicioBlackTDS comercializado entre otros, en el famoso foro
Exploit.IN.

Imagen 6.11. Black TDS.

Fuente: elaboración propia CyberAcademy.

11/19
 TDS (Traffic Director System)

Imagen 6.12. Black TDS exploit.IN

Fuente: elaboración propia CyberAcademy.

Imagen 6.13. Black TDS foros I

Fuente: elaboración propia CyberAcademy.

Imagen 6.14. BlackTDS foros II

Fuente: elaboración propia CyberAcademy.

12/19
 TDS (Traffic Director System)

Imagen 6.15. BlackTDS foros III.

Fuente: elaboración propia CyberAcademy.

Imagen 6.16. BlackTDS foros IV.

Fuente: elaboración propia CyberAcademy.

Imagen 6.17. BlackTDS foros V.

Fuente: elaboración propia CyberAcademy.

Imagen 6.18. BlackTDS foros VI.

Fuente: elaboración propia CyberAcademy.

Otro ejemplo de servicio TDS es el ofrecido por el actor identificado como “xsharman” y que en su anuncio
describe en detalle todas las funcionalidades de filtrado que tiene disponibles.

13/19
 TDS (Traffic Director System)

Imagen 6.19. BlackHat - TDS.

Fuente: elaboración propia CyberAcademy.

La diferencia entre ambos sistemas, además del funcionamiento, está en el modelo de negocio. Mientras que
BlackTDS ofrece un servicio al consumidor de cobro por días (6 $/día), incluso ofreciendo un periodo de prueba
de un mes; BlackHat-TDS ofrece un servicio basado en licencias por un precio bastante superior, llegando al
Bitcoin a fecha de noviembre de 2017.

Imagen 6.20. Precio BlackHat TDS I.

Fuente: elaboración propia CyberAcademy.

Imagen 6.21. BlackHat TDS II.

Fuente: elaboración propia CyberAcademy.

5.3. BlackTDS
Cuando se contrata este servicio se recibe el acceso al panel de control y una URL de un dominio dedicado
registrado en un hosting gratuito. Esta URL es la dirección del TDS asignada al usuario y que este deberá utilizar
para hacer llegar a usuarios finales su contenido malicioso.

Si en los TDS legítimos se utilizaban direcciones URL de la forma:

14/19
 TDS (Traffic Director System)

hXXp://demotds.bosstds.com/in/demo1/

En estos servicios, se utilizan dominios dedicados:

hXXp://dominiodedicado.ga/

El panel de control tiene una única página de configuración con el siguiente aspecto.

Imagen 6.22. BlackTDS Panel.

Fuente: elaboración propia CyberAcademy.

Como se puede comprobar, aparecen los datos básicos como es el dominio que se le asigna al usuario con la
contratación, si el panel está habilitado o no, idioma y modo de trabajo.

El modo de trabajo indica qué contenido mostrará el TDS.

Imagen 6.23. BlackTDS Modos de trabajo I.

Fuente: elaboración propia CyberAcademy.

Actualmente existen seis posibilidades, cuatro de ellas están orientadas a tráfico (móvil o no) para mostrar las
típicas páginas de descarga de software “legítimo”:

15/19
 TDS (Traffic Director System)

Imagen 6.24. BlackTDS Modos de trabajo II.

Fuente: elaboración propia CyberAcademy.

Imagen 6.25. BlackTDS Modos de trabajo III.

Fuente: elaboración propia CyberAcademy.

16/19
 TDS (Traffic Director System)

Las dos posibilidades restantes, se utilizan para realizar redirecciones personalizadas que no muestren el
contenido por defecto. No obstante, aunque se traten de páginas por defecto es posible modificar el fichero de
descarga por uno propio:

Imagen 6.26. BlackTDS modificación de binario.

Fuente: elaboración propia CyberAcademy.

Por otro lado, también se puede configurar el horario en el que el contenido malicioso es alcanzable:

Imagen 6.27. BlackTDS horario.

Fuente: elaboración propia CyberAcademy.

Más parámetros configurables: geolocalización, sistema operativo y navegador.

Imagen 6.28. BlackTDS parámetros de usuario.

Fuente: elaboración propia CyberAcademy.

También existe la posibilidad de añadir otro dominio, además del que se facilita en la contratación del servicio.

17/19
 TDS (Traffic Director System)

Imagen 6.29. BlackTDS añadir dominios.

Fuente: elaboración propia CyberAcademy.

Finalmente, se muestran estadísticas de usuarios finales que han accedido al contenido configurado.

Imagen 6.30. BlackTDS estadísticas I.

Fuente: elaboración propia CyberAcademy.

Imagen 6.31. BlackTDS estadísticas II.

Fuente: elaboración propia CyberAcademy.

En la última figura, se puede observar la opción de añadir direcciones IP ablacklist, de forma que se pueda
limitar el acceso a investigadores y similares.

VI. Resumen
TDS es un ejemplo de sistema que, aunque normalmente se emplea para fines lícitos, como la publicidad
web, también puede emplearse con fines criminales. En esta lección hemos estudiado el funcionamiento
habitual de TDS tanto para fines lícitos como ilícitos.

En cuanto a su uso ilegal, hemos especificado su funcionamiento a través de reglas, hemos enumerado sus
objetivos más comunes y hemos ejemplificado todo lo estudiado con BossTDS. Además, hemos hablado de la
relación entre TDS y malware, describiendo su aplicación, distribución en mercados de la Deep web y hablando
de BlackTDS, uno de los tipos de TDS más populares a día de hoy.

Para los analistas que, en un futuro, deseen dedicarse a esta rama de especialización, es importante
profundizar aún más en los conceptos explicados en este tema para ampliar su base de conocimientos.

18/19
 TDS (Traffic Director System)

Recursos

Enlaces de Interés
Qué es un TDS (Traffic Director System)
https://www.securityartwork.es/2017/03/31/tds-traffic-director-system/
Qué es un TDS (Traffic Director System)

Foro de Hacking
https://exploit.in/
Foro de Hacking.

BlackTDS Traffic Distribution System for Malware Offered as a Service in the Dark Web
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/blacktds-traffic-distribution-system-f
or-malware-offered-as-a-service-in-the-dark-web
BlackTDS Traffic Distribution System for Malware Offered as a Service in the Dark Web

Bibliografía
Learning Malware Analysis: Explore the concetps, tools, and techniques to analyze and
investigate Windows malware. : Monnappa K.A. (2018). Learning Malware Analysis: Explore the
concetps, tools, and techniques to analyze and investigate Windows malware.Birmingham: Packt
Publishing Ltd.
Exploit.IN : Foro de Hacking.

Glosario.
SEO (Search Engine Optimization): Conjunto de técnicas utilizadas en el mundo web para mejorar el
posicionamiento o visualización de un determinado sitio web de cara a que sea más accesible desde los
motores de búsqueda habituales. De esta forma, se genera más tráfico web hacia estas páginas,
recibiendo un mayor número de visitas e incrementando ranking, ingresos u otro tipo de beneficios.

TDS (Traffic Director System): Script avanzado capaz de decidir en base a un histórico o parámetros,
qué contenido se adapta más al usuario del que está recibiendo tráfico web.

Tráfico web: Conjunto de peticiones que genera un usuario, o incluso un bot, hacia una determinada
página web.

19/19