Быстрый поток

Метод обхода DNS-запросов с использованием отпечатков пальцев исходного сервера.

Fast flux — это метод обхода, основанный на системе доменных имен (DNS), используемый киберпреступниками для сокрытия фишинговых и вредоносных веб-сайтов доставки вредоносного ПО за постоянно меняющейся сетью скомпрометированных хостов, действующих как обратные прокси-серверы для внутреннего мастера ботнета — надежной автономной системы . ^[1] Это также может относиться к комбинации одноранговых сетей , распределенного управления и контроля , балансировки нагрузки на основе веб-технологий и перенаправления прокси-серверов, используемых для того, чтобы сделать сети вредоносного ПО более устойчивыми к обнаружению и контрмерам.

Основная идея fast-flux заключается в том, чтобы иметь несколько IP-адресов, связанных с одним полностью определенным доменным именем , где IP-адреса меняются местами с чрезвычайно высокой частотой посредством изменения записей ресурсов DNS , таким образом, авторитетные серверы имен указанного fast-fluxing доменного имени — в большинстве случаев — размещаются преступником. ^[2]

В зависимости от конфигурации и сложности инфраструктуры fast-fluxing обычно классифицируется на одинарные, двойные и доменные fast-flux сети. Fast-fluxing остается сложной проблемой в сетевой безопасности , а текущие контрмеры остаются неэффективными.

История

Fast-fluxing был впервые описан исследователями безопасности Уильямом Салуски и Робертом Дэнфордом из проекта Honeynet в 2007 году; ^[3] в следующем году, в 2008 году, они опубликовали систематическое исследование сетей fast-flux-сервисов. ^[4] Rock Phish (2004) и Storm Worm (2007) были двумя известными сетями fast-flux-сервисов, которые использовались для распространения вредоносного ПО и фишинга. ^[5]

Сеть услуг Fast-Flux

Сеть услуг fast-flux (FFSN) — это сетевая инфраструктура , полученная из сети fast-fluxed скомпрометированных хостов; эта техника также используется законными поставщиками услуг, такими как сети распространения контента (CDN), где динамический IP-адрес преобразуется в соответствии с доменным именем интернет-хоста , обычно с целью балансировки нагрузки с использованием циклической системы доменных имен (RR-DNS). ^[6] Целью использования инфраструктуры FFSN для ботнетов является ретрансляция сетевых запросов и работа в качестве прокси-сервера для внутреннего защищенного сервера контента, который функционирует как « исходный сервер ». ^[7]

Фронтенд - боты, которые действуют как временный хост, прикрепленный к управляющему мастеру , называются потоковыми агентами, доступность сети которых не определена из-за динамической природы быстрого потока. ^[1] Материнские корабли бэкенда не устанавливают прямую связь с пользовательскими агентами , вместо этого все действия передаются через скомпрометированные фронтенд-узлы, ^[8] что фактически делает атаку продолжительной и устойчивой к попыткам ее устранения. ^[9]

Типы

Fast-fluxing обычно подразделяется на два типа: single fluxing и double fluxing, надстройка над single fluxing. Фразеология, используемая в fast-fluxing, включает «flux-herder mothership nodes» и «fast-flux agent nodes», относящиеся к backend bulletproof botnet controller и скомпрометированным узлам хоста , участвующим в обратном проксировании трафика туда и обратно между источником и клиентами соответственно. ^[10]^[1] Скомпрометированные хосты, используемые fast-flux herders, обычно включают в себя жилые широкополосные каналы доступа , такие как DSL и кабельные модемы . ^[11]

Однопоточная сеть

В однопотоковой сети авторитетный сервер имен доменного имени с быстрым потоком многократно переставляет записи ресурсов DNS с низким временем жизни (TTL), обычно от 180 до 600 секунд. Переставленная запись в файле зоны включает записи A, AAAA и CNAME , размещение обычно выполняется с помощью циклического перебора из реестра IP-адресов и имен DDNS эксплуатируемого хоста . ^[12]^[13]^[14] Хотя HTTP и DNS остаются обычно проксируемыми протоколами приложений внешними потоками-агентами, такие протоколы, как SMTP , IMAP и POP, также могут доставляться через методы привязки портов уровня транспортного уровня (L4) TCP и UDP между потоками-агентами и внутренними узлами потоками-хранителями. ^[15]

Сеть двойного потока

Сети с двойным потоком включают высокочастотную перестановку авторитетных серверов имен домена с потоком, а также записи ресурсов DNS, такие как A, AAAA или CNAME, указывающие на прокси-серверы frontend. ^[15]^[16] В этой инфраструктуре авторитетный сервер имен домена с потоком указывает на узел перенаправления frontend, который пересылает датаграмму DNS на материнский узел backend, который разрешает запрос. ^[17]^[18] Записи ресурсов DNS, включая запись NS, устанавливаются с более низким значением TTL, что приводит к дополнительному уровню косвенности . ^[19]^[20] Записи NS в сети с двойным потоком обычно указывают на хост-реферер, который прослушивает порт 53 , который пересылает запрос на внутренний DNS-резолвер, который является авторитетным для домена с потоком. ^[21]^[22]^{: 6} Продвинутый уровень устойчивости и избыточности достигается с помощью методов слепого перенаправления прокси-серверов frontend-узлов; ^[22]^{: 7} Домены Fast-fluxing также злоупотребляют спецификацией RFC 1034 подстановки доменов для рассылки спама и фишинга, а также используют скрытые каналы DNS для передачи полезных данных прикладного уровня таких протоколов, как HTTP, SFTP и FTP, инкапсулированных в запрос DNS-дейтаграммы. ^[23]^[22]^{: 6-7}

Сеть доменного потока

Сеть Domain-Flux включает поддержание работоспособности быстро меняющейся сети посредством непрерывной ротации доменного имени материнских узлов flux-herder. ^[23] Доменные имена динамически генерируются с использованием выбранного псевдослучайного алгоритма генерации доменов (DGA), а оператор flux массово регистрирует доменные имена. Зараженный хост неоднократно пытается инициировать рукопожатие flux-agent путем спонтанной генерации, разрешения и подключения к IP-адресу до получения подтверждения , чтобы зарегистрироваться на материнском узле flux-herder. ^[19] Известным примером является Conficker , ботнет, который функционировал, генерируя 50 000 различных доменов в 110 доменах верхнего уровня (TLD). ^[24]

Меры противодействия безопасности

Обнаружение и смягчение последствий fast-fluxing доменных имен остается сложной задачей в сетевой безопасности из-за надежной природы fast-fluxing. ^[25] Хотя идентификация бэкэнд-материнского узла fast-flux становится все более сложной, поставщики услуг могут обнаружить вышестоящие материнские узлы, проверив frontend flux-агентов особым образом, отправив специально созданный HTTP-запрос , который инициировал бы внеполосный сетевой запрос от бэкэнд-материнского узла fast-flux к клиенту по независимому каналу , так что клиент мог бы вывести IP-адрес материнского узла, проанализировав журналы его сетевого трафика. ^[26] Различные исследователи безопасности предполагают, что эффективной мерой против fast-fluxing является изъятие доменного имени из использования. Однако регистраторы доменных имен неохотно делают это, поскольку не существует независимых от юрисдикции соглашений об условиях обслуживания , которые необходимо соблюдать; в большинстве случаев операторы fast-flux и киберсквоттеры являются основным источником дохода для этих регистраторов. ^[27]

Другие контрмеры против доменов с быстрым изменением трафика включают глубокую проверку пакетов (DPI), межсетевой экран на основе хоста и списки контроля доступа на основе IP (ACL), хотя в этих подходах существуют серьезные ограничения из-за динамической природы быстрого изменения трафика. ^[28]

Смотрите также

Avalanche (фишинговая группа)

Ссылки

^ abc Ли и Ван 2017, стр. 3.
^ Альмомани 2016, стр. 483.
^ Чжоу 2015, стр. 3.
^ Саиф Аль-Маршади; Мохамед Анбар; Шанкар Каруппайя; Ахмед Аль-Ани (17 мая 2019 г.). «Обзор подходов к обнаружению ботнетов на основе анализа трафика DNS». Интеллектуальные и интерактивные вычисления . Конспект лекций по сетям и системам. Том 67. Сингапур : Springer Publishing , Universiti Sains Malaysia . стр. 308. doi :10.1007/978-981-13-6031-2_21. ISBN 978-981-13-6030-5. S2CID 182270258.
^ Назарио, Джош; Хольц, Торстен (8 октября 2008 г.). Как сеть бурлит: наблюдения за ботнетами Fast-flux. 3-я международная конференция по вредоносному и нежелательному программному обеспечению (MALWARE). Александрия, Вирджиния : Институт инженеров по электротехнике и электронике . стр. 24. doi :10.1109/MALWARE.2008.4690854. ISBN 978-1-4244-3288-2.
^ Альмомани 2016, стр. 483-484.
^ Альмомани 2016, стр. 484.
^ Чжоу 2015, стр. 4.
^ Чжоу 2015, стр. 2-3.
^ Салуски и Дафорд 2007, стр. 1.
^ Конте, Фимстер и Юнг 2008, стр. 8.
^ Салуски и Дафорд 2007, стр. 1-2.
^ Ли и Ван 2017, стр. 3-4.
^ "FAQ: Fast-fluxing". Андорра : The Spamhaus Project . Архивировано из оригинала 29 апреля 2021 г. Получено 12 декабря 2021 г.
^ ab Salusky & Daford 2007, стр. 2.
^ Чжоу 2015, стр. 5.
^ Ли и Ван 2017, стр. 3-5.
^ Чжоу 2015, стр. 5-6.
^ ab Li & Wang 2017, стр. 4.
^ Салуски и Дафорд 2007, стр. 2-3.
^ Конте, Фимстер и Юнг 2008, стр. 4-6.
^ abc Ollmann, Gunter (4 июня 2009 г.). «Botnet Communications Topologies: Understanding the intricacies of botnet Command-and-Control» (PDF) . Core Security Technologies . Архивировано (PDF) из оригинала 26 марта 2020 г. . Получено 3 марта 2022 г. .
^ ab Hands, Nicole M.; Yang, Baijian; Hansen, Raymond A. (сентябрь 2015 г.). Исследование ботнетов, использующих DNS. RIIT '15: Труды 4-й ежегодной конференции ACM по исследованиям в области информационных технологий, Университет Пердью . Соединенные Штаты Америки : Ассоциация вычислительной техники . стр. 23–28 . doi :10.1145/2808062.2808070.
^ Ли и Ван 2017, стр. 4-5.
^ Чжоу 2015, стр. 1-2.
^ Салуски и Дафорд 2007, стр. 7.
^ Конте, Фимстер и Юнг 2008, стр. 8-11.
^ Флориан Тегелер; Сяомин Фу; Джованни Винья; Кристофер Крюгель (10 декабря 2012 г.). «BotFinder: Поиск ботов в сетевом трафике без глубокой проверки пакетов». Труды 8-й международной конференции по новым сетевым экспериментам и технологиям. Ассоциация вычислительной техники . С. 349– 360. doi :10.1145/2413176.2413217. ISBN 9781450317757. S2CID 2648522.

Библиография

Альмомани, Аммар (24 августа 2016 г.). «Охотник за быстрыми потоками: система фильтрации ботнетов с быстрыми потоками». Neural Comput & Applic . 29 (7). Springer Publishing : 483– 493. doi : 10.1007/s00521-016-2531-1. S2CID 4626895.
Ли, Синго; Ван, Цзюньфэн (25 сентября 2017 г.). «Технология обнаружения ботнетов на основе DNS». Будущее Интернета . 9 (4). Сычуаньский университет : 55. doi : 10.3390/fi9040055 .
Саласки, Уильям; Дафорд, Роберт (13 июля 2007 г.). «Знай своего врага: сети быстрого обслуживания Fast-Flux». Проект Honeynet . Архивировано из оригинала 30 сентября 2012 г. – через Wayback Machine . {{cite journal}}: Цитировать журнал требует |journal=( помощь )
Konte, M.; Feamster, N.; Jung, J. (январь 2008 г.). "SAC 025: Консультации SSAC по хостингу Fast Flux и DNS" (PDF) . Консультативный комитет по безопасности и стабильности (SSAC) (1). Корпорация по управлению доменными именами и IP-адресами в Интернете . Архивировано (PDF) из оригинала 22 ноября 2021 г. . Получено 12 декабря 2021 г. .
"SpamHaus: Часто задаваемые вопросы (FAQ)". Проект Spamhaus . Архивировано из оригинала 22 февраля 2022 г. Получено 3 марта 2022 г.
"SAC 025 SSAC Advisory on Fast Flux Hosting and DNS" (PDF) . Корпорация по управлению доменными именами и IP-адресами в Интернете . Январь 2008 г. Архивировано из оригинала (PDF) 2022-01-19.
Чжоу, Шицзе (29 июня 2015 г.). «Обзор атак Fast-flux». Журнал информационной безопасности: глобальная перспектива . 24 ( 4–6 ). Университет электронной науки и технологий Китая : 79–97 . doi :10.1080/19393555.2015.1058994. S2CID 34993719.

[FOOTNOTELiWang20173-1] Ли и Ван 2017, стр. 3.

[FOOTNOTEAlmomani2016483-2] Альмомани 2016, стр. 483.

[FOOTNOTEZhou20153-3] Чжоу 2015, стр. 3.

[4] Саиф Аль-Маршади; Мохамед Анбар; Шанкар Каруппайя; Ахмед Аль-Ани (17 мая 2019 г.). «Обзор подходов к обнаружению ботнетов на основе анализа трафика DNS». Интеллектуальные и интерактивные вычисления . Конспект лекций по сетям и системам. Том 67. Сингапур : Springer Publishing , Universiti Sains Malaysia . стр. 308. doi :10.1007/978-981-13-6031-2_21. ISBN 978-981-13-6030-5. S2CID 182270258.

[5] Назарио, Джош; Хольц, Торстен (8 октября 2008 г.). Как сеть бурлит: наблюдения за ботнетами Fast-flux. 3-я международная конференция по вредоносному и нежелательному программному обеспечению (MALWARE). Александрия, Вирджиния : Институт инженеров по электротехнике и электронике . стр. 24. doi :10.1109/MALWARE.2008.4690854. ISBN 978-1-4244-3288-2.

[FOOTNOTEAlmomani2016483-484-6] Альмомани 2016, стр. 483-484.

[FOOTNOTEAlmomani2016484-7] Альмомани 2016, стр. 484.

[FOOTNOTEZhou20154-8] Чжоу 2015, стр. 4.

[FOOTNOTEZhou20152-3-9] Чжоу 2015, стр. 2-3.

[FOOTNOTESaluskyDaford20071-10] Салуски и Дафорд 2007, стр. 1.

[FOOTNOTEKonteFeamsterJung20088-11] Конте, Фимстер и Юнг 2008, стр. 8.

[FOOTNOTESaluskyDaford20071-2-12] Салуски и Дафорд 2007, стр. 1-2.

[FOOTNOTELiWang20173-4-13] Ли и Ван 2017, стр. 3-4.

[14] "FAQ: Fast-fluxing". Андорра : The Spamhaus Project . Архивировано из оригинала 29 апреля 2021 г. Получено 12 декабря 2021 г.

[FOOTNOTESaluskyDaford20072-15] Salusky & Daford 2007, стр. 2.

[FOOTNOTEZhou20155-16] Чжоу 2015, стр. 5.

[FOOTNOTELiWang20173-5-17] Ли и Ван 2017, стр. 3-5.

[FOOTNOTEZhou20155-6-18] Чжоу 2015, стр. 5-6.

[FOOTNOTELiWang20174-19] Li & Wang 2017, стр. 4.

[FOOTNOTESaluskyDaford20072-3-20] Салуски и Дафорд 2007, стр. 2-3.

[FOOTNOTEKonteFeamsterJung20084-6-21] Конте, Фимстер и Юнг 2008, стр. 4-6.

[Ollmann20-22] Ollmann, Gunter (4 июня 2009 г.). «Botnet Communications Topologies: Understanding the intricacies of botnet Command-and-Control» (PDF) . Core Security Technologies . Архивировано (PDF) из оригинала 26 марта 2020 г. . Получено 3 марта 2022 г. .

[Yang15-23] Hands, Nicole M.; Yang, Baijian; Hansen, Raymond A. (сентябрь 2015 г.). Исследование ботнетов, использующих DNS. RIIT '15: Труды 4-й ежегодной конференции ACM по исследованиям в области информационных технологий, Университет Пердью . Соединенные Штаты Америки : Ассоциация вычислительной техники . стр. 23–28 . doi :10.1145/2808062.2808070.

[FOOTNOTELiWang20174-5-24] Ли и Ван 2017, стр. 4-5.

[FOOTNOTEZhou20151-2-25] Чжоу 2015, стр. 1-2.

[FOOTNOTESaluskyDaford20077-26] Салуски и Дафорд 2007, стр. 7.

[FOOTNOTEKonteFeamsterJung20088-11-27] Конте, Фимстер и Юнг 2008, стр. 8-11.

[28] Флориан Тегелер; Сяомин Фу; Джованни Винья; Кристофер Крюгель (10 декабря 2012 г.). «BotFinder: Поиск ботов в сетевом трафике без глубокой проверки пакетов». Труды 8-й международной конференции по новым сетевым экспериментам и технологиям. Ассоциация вычислительной техники . С. 349– 360. doi :10.1145/2413176.2413217. ISBN 9781450317757. S2CID 2648522.