Быстрый поток

Техника уклонения от DNS против снятия отпечатков пальцев исходного сервера.

Robtex DNS-анализ быстро меняющегося домена.

Fast Flux — это метод уклонения на основе системы доменных имен (DNS) , используемый киберпреступниками для сокрытия фишинговых веб-сайтов и сайтов доставки вредоносного ПО за постоянно меняющейся сетью скомпрометированных хостов, действующих как обратные прокси-серверы для внутреннего мастера ботнета — пуленепробиваемой автономной системы . ^[1] Это также может относиться к сочетанию одноранговых сетей , распределенного управления и контроля , балансировки нагрузки через Интернет и перенаправления прокси-серверов , используемых для того, чтобы сделать сети вредоносных программ более устойчивыми к обнаружению и противодействию.

Фундаментальная идея fast-flux заключается в том, чтобы иметь множество IP-адресов , связанных с одним полностью определенным доменным именем , при этом IP-адреса меняются местами с чрезвычайно высокой частотой посредством изменения записей ресурсов DNS , таким образом, авторитетные серверы имен упомянутых быстро меняющееся доменное имя — в большинстве случаев — принадлежит преступнику. ^[2]

В зависимости от конфигурации и сложности инфраструктуры сети fast-flux обычно подразделяются на одиночные, двойные и доменные сети fast-flux. Быстрое изменение ситуации остается сложной проблемой сетевой безопасности , и текущие меры противодействия остаются неэффективными.

История

О быстром изменении впервые сообщили исследователи безопасности Уильям Саласки и Роберт Дэнфорд из проекта Honeynet в 2007 году; ^[3] В следующем году они опубликовали систематическое исследование сетей быстрого обслуживания в 2008 году. ^[4] Rock Phish (2004) и Storm Worm (2007) были двумя известными сетями обслуживания fast-flux, которые использовались для распространения вредоносного ПО и фишинг. ^[5]

Сеть обслуживания Fast-flux

Сеть обслуживания fast-flux (FFSN) — это сетевая инфраструктура , возникшая в результате сети fast-flux скомпрометированных хостов; этот метод также используется законными поставщиками услуг, такими как сети распространения контента (CDN), где динамический IP-адрес преобразуется в соответствие с доменным именем интернет-хоста , обычно с целью балансировки нагрузки с использованием системы доменных имен с циклическим перебором (RR) . -DNS). ^[6] Целью использования инфраструктуры FFSN для ботнетов является ретрансляция сетевых запросов и действие в качестве прокси-сервера для внутреннего защищенного сервера контента, который функционирует как « исходный сервер ». ^[7]

Фронтенд - боты, которые действуют как эфемерный хост, прикрепленный к мастеру управления , называются Flux-агентами, доступность сети которых не определена из-за динамической природы fast-fluxing. ^[1] Базовые серверы не устанавливают прямую связь с пользовательскими агентами , а все действия передаются через скомпрометированные внешние узлы, ^[8] эффективно делая атаку продолжительной и устойчивой к попыткам отключения. ^[9]

Типы

Иллюстрация быстро меняющихся сетей с одинарным и двойным DNS.

Быстрофлюсование обычно подразделяется на два типа: одинарное флюсование и двойное флюсование, являющееся развитием технологии одинарного флюсования. Фразеологии, задействованные в fast-fluxing, включают в себя «материнские узлы-потоки» и «узлы-агенты fast-flux», относящиеся к внутреннему пуленепробиваемому контроллеру ботнета и скомпрометированным хост-узлам , участвующим в обратном проксировании трафика туда и обратно между источником . и клиенты соответственно. ^{[10] [1]} Скомпрометированные хосты, используемые пастухами с быстрым потоком, обычно включают в себя жилые схемы широкополосного доступа , такие как DSL и кабельные модемы . ^[11]

Однопоточная сеть

В однопоточной сети авторитетный сервер имен быстро меняющегося доменного имени неоднократно меняет записи ресурсов DNS с низкими значениями времени жизни (TTL), обычно от 180 до 600 секунд. Перестановочная запись в файле зоны включает записи A, AAAA и CNAME . Удаление обычно выполняется посредством циклического перебора из реестра IP-адресов эксплуатируемых хостов и имен DDNS . ^{[12] [13] [14]} Хотя HTTP и DNS остаются обычно проксируемыми протоколами приложений внешними агентами потока, такие протоколы, как SMTP , IMAP и POP , также могут доставляться через транспортный уровень (L4) TCP и методы привязки портов на уровне UDP . между агентами потока и внутренними узлами управления потоком. ^[15]

Двухпотоковая сеть

Сети с двойным потоком включают в себя высокочастотную перестановку авторитетных серверов имен домена потока, а также записи ресурсов DNS, такие как A, AAAA или CNAME, указывающие на внешние прокси. ^{[15] [16]} В этой инфраструктуре авторитетный сервер имен домена Fluxing указывает на внешний узел перенаправления, который пересылает датаграмму DNS на внутренний материнский узел, который разрешает запрос. ^{[17] [18]} Записям ресурсов DNS, включая запись NS, присваивается более низкое значение TTL, что приводит к дополнительному уровню косвенности . ^{[19] [20]} Записи NS в сети с двойным потоком обычно указывают на хост-реферер, который прослушивает порт 53 , который перенаправляет запрос на серверный DNS-преобразователь, который является авторитетным для домена потока. ^{[21] [22] : 6} Повышенный уровень устойчивости и избыточности достигается за счет методов перенаправления слепого прокси-сервера на внешних узлах; ^{[22] :7} Домены с быстрой сменой доменов также злоупотребляют спецификацией доменных подстановочных знаков RFC  1034 для доставки спама и фишинга и используют скрытые каналы DNS для передачи полезных данных протоколов прикладного уровня, таких как HTTP, SFTP и FTP, инкапсулированных в запрос дейтаграммы DNS. ^{[23] [22] : 6-7}

Сеть доменного потока

Сеть доменного потока предполагает поддержание работоспособности быстро меняющейся сети посредством непрерывной ротации доменных имен узлов-носителей потоков. ^[23] Доменные имена генерируются динамически с использованием выбранного алгоритма генерации псевдослучайных доменов (DGA), а оператор потока осуществляет массовую регистрацию доменных имен. Зараженный хост неоднократно пытается инициировать рукопожатие Flux-Agent, спонтанно генерируя, разрешая и подключаясь к IP-адресу до получения подтверждения , чтобы зарегистрироваться на главном узле Flux-Herder. ^[19] Ярким примером является Conficker , ботнет, который работал, генерируя 50 000 различных доменов в 110 доменах верхнего уровня (TLD). ^[24]

Меры безопасности

Обнаружение и смягчение последствий быстроизменяющихся доменных имен остается сложной задачей сетевой безопасности из-за надежной природы быстроизменяющихся доменных имен. ^[25] Хотя определение отпечатков пальцев на внутреннем материнском узле fast-flux остается все более сложным, поставщики услуг могут обнаружить вышестоящие материнские узлы путем проверки внешних агентов потока особым способом, отправив созданный HTTP-запрос , который вызовет внеполосный запрос. сетевой запрос от внутреннего материнского узла fast-flux к клиенту по независимому каналу , чтобы клиент мог определить IP-адрес материнского узла путем анализа журналов его сетевого трафика. ^[26] Различные исследователи безопасности предполагают, что эффективной мерой против быстрого изменения является прекращение использования доменного имени. Однако регистраторы доменных имен неохотно делают это, поскольку не существует независимых от юрисдикции соглашений об условиях обслуживания , которые необходимо соблюдать; в большинстве случаев операторы fast-flux и киберсквоттеры являются основным источником дохода этих регистраторов. ^[27]

Другие меры противодействия доменам с быстрой сменой пакетов включают глубокую проверку пакетов (DPI), межсетевой экран на базе хоста и списки управления доступом на основе IP (ACL), хотя эти подходы имеют серьезные ограничения из-за динамической природы быстрой смены. ^[28]

Смотрите также

• Avalanche (фишинговая группа)

Рекомендации

1. Ли и Ван 2017, с. 3.
2. Альмомани 2016, с. 483.
3. Чжоу 2015, с. 3.
4. Саиф Аль-Маршади; Мохамед Анбар; Шанкар Каруппая; Ахмед Аль-Ани (17 мая 2019 г.). «Обзор подходов к обнаружению ботнетов на основе анализа DNS-трафика». Интеллектуальные и интерактивные вычисления . Конспекты лекций по сетям и системам. Том. 67. Сингапур : Springer Publishing , Universiti Sains Malaysia . п. 308. дои : 10.1007/978-981-13-6031-2_21. ISBN 978-981-13-6030-5. S2CID  182270258.
5. Назарио, Джош; Хольц, Торстен (8 октября 2008 г.). По мере оттока сети: наблюдения за ботнетами Fast-flux. 3-я Международная конференция по вредоносному и нежелательному программному обеспечению (MALWARE). Александрия, Вирджиния : Институт инженеров по электротехнике и электронике . п. 24. дои : 10.1109/MALWARE.2008.4690854. ISBN 978-1-4244-3288-2.
6. Альмомани 2016, с. 483-484.
7. Альмомани 2016, с. 484.
8. Чжоу 2015, с. 4.
9. Чжоу 2015, с. 2-3.
10. Саласки и Дафорд 2007, с. 1.
11. Конте, Фимстер и Юнг 2008, стр. 8.
12. Саласки и Дафорд 2007, с. 1-2.
13. Ли и Ван 2017, с. 3-4.
14. «Часто задаваемые вопросы: Быстротечность» . Андорра : Проект Spamhaus . Архивировано из оригинала 29 апреля 2021 года . Проверено 12 декабря 2021 г.
15. Салуски и Дафорд 2007, стр. 2.
16. Чжоу 2015, с. 5.
17. Ли и Ван 2017, с. 3-5.
18. Чжоу 2015, с. 5-6.
19. Ли и Ван 2017, с. 4.
20. Саласки и Дафорд 2007, с. 2-3.
21. Конте, Фимстер и Юнг 2008, стр. 4-6.
22. Оллманн, Гюнтер (4 июня 2009 г.). «Топологии связи ботнетов: понимание тонкостей управления и контроля ботнетов» (PDF) . Основные технологии безопасности . Архивировано (PDF) из оригинала 26 марта 2020 г. Проверено 3 марта 2022 г.
23. Hands, Николь М.; Ян, Байцзянь; Хансен, Раймонд А. (сентябрь 2015 г.). Исследование ботнетов, использующих DNS. RIIT '15: Материалы 4-й ежегодной конференции ACM по исследованиям в области информационных технологий, Университет Пердью . США : Ассоциация вычислительной техники . стр. 23–28. дои : 10.1145/2808062.2808070.
24. Ли и Ван 2017, с. 4-5.
25. Чжоу 2015, с. 1-2.
26. Саласки и Дафорд 2007, с. 7.
27. Конте, Фимстер и Юнг 2008, стр. 8-11.
28. Флориан Тегелер; Сяомин Фу; Джованни Винья; Кристопер Крюгель (10 декабря 2012 г.). «BotFinder: поиск ботов в сетевом трафике без глубокой проверки пакетов». Материалы 8-й международной конференции «Новые сетевые эксперименты и технологии». Ассоциация вычислительной техники . стр. 349–360. дои : 10.1145/2413176.2413217. ISBN 9781450317757. S2CID  2648522.

Библиография

• Альмомани, Аммар (24 августа 2016 г.). «Охотник за быстрым потоком: система фильтрации онлайн-ботнетов быстрого потока». Нейронные вычисления и приложения . Издательство Спрингер . 29 (7): 483–493. дои : 10.1007/s00521-016-2531-1. S2CID  4626895.
• Ли, Синго; Ван, Цзюньфэн (25 сентября 2017 г.). «Технология обнаружения ботнетов на основе DNS». Будущий Интернет . Сычуаньский университет . 9 (4): 55. дои : 10.3390/fi9040055 .
• Саласки, Уильям; Дафорд, Роберт (13 июля 2007 г.). «Знай своего врага: сети обслуживания Fast-Flux». Проект Honeynet . Архивировано из оригинала 30 сентября 2012 года — через Wayback Machine . {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
• Конте, М.; Фимстер, Н.; Юнг, Дж. (январь 2008 г.). «SAC 025: Рекомендации SSAC по хостингу Fast Flux и DNS» (PDF) . Консультативный комитет по безопасности и стабильности (SSAC) . Интернет-корпорация по присвоению имен и номеров (1). Архивировано (PDF) из оригинала 22 ноября 2021 года . Проверено 12 декабря 2021 г.
• «СпамХаус: Часто задаваемые вопросы (FAQ)» . Проект «Спамхаус» . Архивировано из оригинала 22 февраля 2022 года . Проверено 3 марта 2022 г.
• «Рекомендации SAC 025 SSAC по хостингу Fast Flux и DNS» (PDF) . Интернет-корпорация по присвоению имен и номеров . Январь 2008 г. Архивировано из оригинала (PDF) 19 января 2022 г.
• Чжоу, Шицзе (29 июня 2015 г.). «Обзор атак Fast-flux». Журнал информационной безопасности: глобальная перспектива . Университет электронных наук и технологий Китая . 24 (4–6): 79–97. дои : 10.1080/19393555.2015.1058994. S2CID  34993719.