攻击者利用fast-flux技术隐藏恶意网址

前情提要

自2006年以来,安全研究人员一直在关注一种新的网络犯罪技术:fast-flux,它被用于隐藏复杂的代理网络背后的恶意流量。这种技术最初被用于僵尸网络的攻击活动中:少数人利用所控制成千上万台被感染的个人计算机,向无辜用户分发诸如钓鱼网站、恶意软件之类的犯罪内容。如今,Fast-flux网络已经成为发展网上犯罪活动的关键。

工作原理

当你问一个完全正常的域名,如www.innocentsite.com,你期望从innocentsite服务器接收到响应。fast-flux网络的适用范围是为一个完全特定的域名提供大量的IP地址。TTL的大小为3或5,IP地址快速地、周期性地从循环列表中交换取得。循环DNS是一种常见的用于负载分配和负载平衡的技术,它允许不同的用户连接到同一域,接收来自不同服务器的响应。例如,用户1向Google发送连接请求,从google-server1接收到响应,然后用户2连接Google并接收来自google-server2的响应。每当主机回答一个请求之后,它的IP就被排到了循环列表的底部,确保列表的顶部总是那些负载更少的主机。回到fast-flux网络的使用场景,主机都是被感染的计算机,创建僵尸网络的目的只是为了为恶意服务提供代理网络。如上图所示,“mothership”服务器负责对受害用户的应答,它是托管恶意内容的后端服务器。我们可以将fast-flux分为single-flux 和 double-flux。

Single-flux网络

受害人向他信任的www.innocentsite.com发送请求,但他的流量被重定向到僵尸网络并最终指向mothership。这个僵尸网络大部分是由受感染的个人电脑组成的。重定向的工作是有一个被称为flux-agent的主机实现的。flux-agent的DNS记录每3到10分钟更改一次,因此即使一个重定向节点关机了,也能在很短的时间内利用其他节点进行替换。fast-flux网络不仅可以使用DNS和HTTP协议提供服务,也可以使用IMAP、SMTP和POP协议。

Double-flux网络

这种类型的fast-flux更为复杂,因为DNS的A记录和NS记录都使用循环技术进行变化。DNS A记录返回一个32位的通常用来连接主机IP的IPv4 地址,而DNS NS记录建立一组特定的权威服务器,用于处理某段确定的DNS区域,这意味着,使用double flux技术进行攻击时,主机的IP地址转换,不仅是作为一个单一的DNS名称的一部分,而是整个DNS区域,也就是说想要定位攻击源几乎是不可能的。在传统的基于IRC服务器的僵尸网络中,找到中央IRC服务器就能够删除整个恶意系统,但在一个使用了fast-flux技术的僵尸网络中,你应该把成千上万个、位于世界各地的不同国家的主机全部打掉,也就是说在fast-flux网络中,没有一个脆弱的孤点。

著名的fast-flux攻击案例

Storm Worm

Storm Worm是一种后门木马,2007年针对windows系统的私有主机进行感染。该病毒主要通过垃圾邮件进行传播,几个月后,感染量就占世界所有恶意软件感染的8%。虽然传统的僵尸网络可以找到一个中央服务器,但Storm Worm被一个僵尸网络所隐藏,是一个对等(P2P)的分布式网络。很难理解这一网络的真实大小,因为每台主机与其他30台计算机相连接,只能获取到整个网络的一个子集,却无法掌握完整的列表。

Samy

Samy是一个史上传播速度最快的XSS蠕虫。它是通过社会网络MySpace进行传播,作者是SamyKamkar。该病毒于2005发布,20小时内感染了一百万多个用户。病毒本身是没有危险的,但它是每一个受感染的用户都会向SamyKamkar发送好友请求,同时电脑屏幕上会显示一条消息:“But most of all, samy is my hero”。这次蠕虫时间暴露了社交网络极大的脆弱性。

结论

虽然建立一个专门用于网络罪犯的fast-flux网络是比较容易的,但追踪这些网络的基础设施并将整个系统拆除却是非常复杂的。事实上,研究人员和网络分析仪需要应对成千上万个感染主机,节点太多导致人们很难理解网络的真实规模有多大。IP地址每几分钟就会随机变化一次,不同的国家的法律制度不一样,ISP也并不总是会提供帮助。尽管如此,依然有一个办法,那就是检测mothership,它负责向 flux-agent发送探测包,追踪路径可以跟踪到mothership本身。

使用fast-flux网络进行网络罪犯有很强的投资回报率。网络钓鱼,垃圾邮件和恶意软件,只是fast-flux技术的几个使用场景。因此,不难理解,这种攻击方式将随着时间的推移而不断发展,为黑客带来更实惠的利润,相反的,给全球用户带来更大的威胁。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/104564.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code