Содержание статьи
Вступление
Одной из самых реальных угроз, с которой нам приходится сталкиваться в сети
Интернет, является киберпреступность. Причем преступники постоянно
совершенствуют орудия получения ими незаконной выгоды. Данная работа призвана
рассказать о все более популярной методике под названием fast-flux (в дословном
переводе – "быстрое течение, поток"), число случаев использования которой в
открытой среде постоянно увеличивается. Сервисные сети fast-flux представляют
собой сети скомпрометированных компьютеров с публичными именами DNS записей,
которые постоянно меняются, иногда несколько раз в минуту. Такая постоянно
изменяющаяся архитектура существенно осложняет отслеживание и пресечение
преступной деятельности.
В этом исследовании мы сначала опишем, что же такое сервисные сети fast-flux,
как они работают, как преступники используют их для достижения своих целей, и
изучим два типа таких сетей, которые мы назвали однопоточными и двухпоточными
сетями fast-flux, после чего приведем несколько свежих примеров работы подобных
сетей в реальном мире. Затем мы расскажем как работает вредоносное ПО, связанное
с организацией сетей fast-flux и представим результаты исследования, в ходе
которого мы умышленно заразили нашу приманку агентом сети fast-flux. Ну и
наконец, мы поясним, как находить и определять такие сети, а также
минимизировать ущерб от их работы, преимущественно в больших сетевых окружениях.
Как работают сервисные сети Fast-Flux
Целью fast-flux является назначение любому полнофункциональному доменному
имени (например, www.example.com) множества (сотен, а иногда и тысяч)
IP-адресов. Переключение между ними в потоке происходит с обескураживающей
быстротой, при этом используется комбинация циклического набора IP-адресов и
очень маленького значения TTL для каждой отдельной записи в DNS. Новый набор
IP-адресов именам хостов может назначаться с периодичностью в три минуты.
Поэтому браузер, каждые три минуты соединяющийся с одним и тем же сайтом, на
самом деле всякий раз соединяется с разными зараженными компьютерами. Более
того, хакеры всегда заботятся о том, чтобы инфицированные машины, которые они
используют для осуществления своих афер, по возможности имели максимально
широкий канал и уровень доступности. Зачастую они используют такие схемы
распределения нагрузки, которые учитывают результаты проверки состояния узлов
сети, позволяя, таким образом, исключать из потока неактивные узлы и
обеспечивать постоянную работу системы.
Помимо этого для преодоления ситуации отказа и обеспечения безопасности
используется переадресация вслепую. Она позволяет пресекать попытки отслеживания
и отключения узлов сети, используемых для сетей fast-flux. При этом диапазон
изменяющихся IP-адресов не является конечной точкой отправки запроса на
определенный контент, вместо этого инфицированные машины, находящиеся на входе в
систему, работают лишь как средства перенаправления, которые "переливают" данные
и запросы между находящимися глубоко внутри серверами и внешним миром. В
сущности, доменные имена и ссылки на рекламируемый контент более не
ассоциируются с IP-адресом определенного сервера, передаваясь вместо этого
входными прокси-серверами, которые, в свою очередь, пересылают их группе
внутренних серверов. И хотя одно время такая методика использовалась для вполне
легальных серверных операций, целью которых было обеспечение равномерной
загрузки и высокой доступности сервисов, в данном случае мы наблюдаем, как
современная технология встала на службу к преступникам.
"Базы" системы fast-flux – это контролирующие элементы сети, аналогичные
серверам управления сегодняшними ботнетами. Однако их функциональность по
сравнению с обычным IRC-сервером типичного ботнета намного выше. Фактически, это
расположенный в восходящем потоке данных управляющий узел, замаскированный сетью
внешних прокси-узлов и доставляющий контент в ответ на запрос клиента-жертвы.
Такие управляющие узлы способны успешно функционировать в открытых сетях весьма
продолжительное время. Наблюдения показали, что они могут иметь как DNS, так и
HTTP сервисы, с такой конфигурацией виртуального хостинга, которая в состоянии
управлять доступностью на одном хосте тысяч доменов одновременно. Вплоть до
конца марта 2007 года наблюдалось лишь два таких основных хоста, обслуживающих
многие тысячи доменов в потоке, это позволяет сделать предположение о том, что
их разработкой и использованием занималась ограниченная группа людей. Наиболее
часто встречающимися доменами верхнего уровня при создании ресурсов, работающих
с fast-flux, были домены с окончаниями .hk и .info, хотя нагрузка по их
регистрации, по всей видимости, равномерно распределялась между всеми
регистраторами (поскольку иногда попадались и домены с окончанием .com,
например).
Мы выделили два типа сетей fast-flux и назвали их однопоточными и
двухпоточными сетями fast-flux. Все, о чем ты успел прочитать к данному моменту,
относилось к однопоточным сетям, а двухпоточные сети добавляют в эту архитектуру
еще один дополнительный уровень безопасности, постоянно изменяя IP-адреса для
ответственных за зону DNS-серверов. Мы приведем примеры сетей обоих типов,
начиная с однопоточной сети fast-flux.
Однопоточные сети Fast-Flux
На рисунке внизу продемонстрирована однопоточная сеть. Мы сравнили обычное
взаимодействие браузера с типичным веб-сайтом и взаимодействие в однопоточной
сети fast-flux, в которой соединение с браузером конечного пользователя
перенаправляется через машины-редиректоры (так называемые flux-боты или
flux-агенты). Когда жертва думает, что она просматривает http://flux.example.com,
ее браузер на самом деле соединяется с редиректором сервисной сети fast-flux,
который перенаправляет запросы на целевой веб-сайт. Однопоточные сети меняют
DNS-записи для IP-адресов, находящихся на входе в систему узлов, каждые 3-10
минут, поэтому даже если один из flux-агентов выведен из строя, его место быстро
занимают другие хосты. Мы выяснили, что такие однопоточные сети сформированы из
предварительно скомпрометированных домашних компьютеров.
Сети fast-flux в ответе за многие нелегальные деяния, в число которых входит
организация специальных сайтов для найма дропов для снятия денег по
клонированным кредитным картам, открытие сетевых фармацевтических магазинов,
развертывание фишинговых веб-сайтов, организация просмотра нелегальной
порнографии, поднятие вредоносных сайтов, содержащих эксплоиты для браузеров и
распространение загружаемого вредоносного ПО. Кроме обычных сервисов DNS и HTTP,
сетями fast-flux могут также обслуживаться сервисы на основе SMTP, POP и IMAP. А
поскольку технология fast-flux использует TCP- и UDP-переадресацию вслепую, у
любого направленного сервисного протокола с одним целевым портом могут
возникнуть проблемы во время обслуживания в сети fast-flux.
Двухпоточные сети Fast-Flux
Двухпоточные сети представляют собой еще более сложную технологию,
обеспечивающую дополнительный уровень резервирования. Так, и А-записи DNS и
ответственные записи постоянно меняются и транслируются в сервисную сеть
fast-flux. Как явствует из проведенных наблюдений, и DNS и HTTP сервисы в
действующих двухпоточных сетях обслуживаются одним и тем же базовым узлом,
находящимся в восходящем потоке. Изображение внизу демонстрирует разницу между
однопоточной и двухпоточной сетями. Обрати внимание, что на картинке внизу
кэширование запросов в расчет не принимается и что исходящий запрос обычно
выпускается клиентским предпочитаемым сервером имен, а не самим клиентом.
С левой стороны изображена схема работы однопоточной сети: клиент хочет
преобразовать адрес http://flux.example.com/ flux.example.com. Сначала он
запрашивает корневой сервер имен DNS какой сервер ответственен за домен верхнего
уровня domain.com и получает ответ (на картинке он пропущен). Далее клиент
запрашивает сервер, соответственный за .com насчет домена example.com и в
качестве ответа получает указание на сервер имен ns.example.com. Теперь клиент
может запросить полномочный DNS-сервер ns.example.com на предмет действительного
IP-адреса для flux.example.com. Полномочный сервер имен высылает IP-адрес, с
которым клиент может попытаться установить прямое соединение. В обычном случае
ответный IP-адрес остается неизменным в течение определенного периода времени,
тогда как в случае с однопоточными узлами fast-flux ответ очень часто меняется.
Справа изображена схема DNS-запроса адреса внутри двухпоточного домена.
Опять-таки, клиент запрашивает адрес flux.example.com. Для краткости первый шаг
(запрос корневого сервера имен) мы пропустим. Далее клиент запрашивает
ответственный за домен верхнего уровня (.com) сервер имен насчет полномочного
сервера для домена example.com. После этого клиент запрашивает полномочный
DNS-сервер ns.example.com по поводу адреса для flux.example.com. Однако данный
полномочный сервер сам является частью двухпоточной сети fast-flux и его
собственный IP-адрес также постоянно меняется. И когда от клиента приходит
DNS-запрос для flux.example.com, текущий полномочный сервер имен перенаправляет
запрос на базовый управляющий узел, который и предоставляет затребованную
информацию. После этого клиент может попытаться установить прямое соединение с
целевой системой (хотя ее роль будут играть динамически изменяющиеся узлы
flux-агентов на входе в систему).
Преимущества для нападающего
"Традиционная" кибератака, такая как фишинг, обычно требует заражения по
крайней мере одного компьютера жертвы и организации поддельного или
мошеннического веб-сайта. Контент можно рассылать как при помощи спама, так и с
помощью более целенаправленной рекламы, зачастую это делается с использованием
ботнетов. Компьютерные системы, содержащие вредоносный контент, могут быть
опознаны и через публичное DNS-имя и напрямую по IP-адресу, содержащемуся в
каждом разосланном электронном сообщении. Такое мошенничество сравнительно
быстро выявляется специалистами в области компьютерной безопасности и легко
пресекается. И поскольку средняя продолжительность жизни фишинговых ресурсов
начала сокращаться, преступники стали предпринимать действия по внедрению
дополнительных мер защиты, таких как обфускация серверных адресов или
использование цепочек прокси-серверов, перенаправляющих запросы. Однако
масштабирование подобных архитектур все равно остается достаточно ограниченным и
при наличии международной кооперации отслеживать данные сети возможно достаточно
эффективно. И вот теперь мы становимся свидетелями следующего шага на пути
эволюционного развития технических средств, которыми пользуются злоумышленники.
Все упирается в возврат инвестиций, и сервисные сети fast-flux предоставляют
преступником отличную возможность вернуть свои затраты с максимальной выгодой и
эффективностью при сравнительно небольших усилиях. Сети fast-flux дают три
основных преимущества тем, кто стоит за развитием криминала в сети Интернет.
Первое преимущество подходит как легальному бизнесу, так и лидерам
криминального мира и заключается в простоте. Для управления контентом и
информацией DNS будет достаточно одного сравнительно мощного сервера. Публичные
URL (например, фишинговые приманки), указывают на прокси-редиректоры на входе в
систему, которые затем перенаправляют запросы на соединение со стороны клиентов
на основной управляющий базовый сервер (или серверы). Это делает управление
доставкой контента куда более простым. Вместо того чтобы поднимать (или
взламывать) и обслуживать большое количество серверов, на которых располагаются
вредоносные сайты, хакерам теперь требуется лишь небольшое число хорошо
организованных ключевых систем для развертывания хостинга мошеннических сайтов и
вредоносного ПО. Некоторые люди могут также специализироваться на создании и
обслуживании надежных сетей fast-flux и предоставлении соответствующих услуг.
Вторым преимуществом наличия круга внешних узлов является возможность
организации доступной защиты от посягательств на криминальные ресурсы со стороны
экспертов в области безопасности или правоохранительных органов. Когда какой-то
эксперт расследует определенный случай, он предпринимает попытку отследить
опасный веб-сайт, работающий через fast-flux, однако все, что ему удается
установить – это россыпь IP-адресов, указывающих на внешние узлы flux-ботов,
которые могут иметь абсолютно разную юрисдикцию, находиться на разных
континентах, иметь отличающиеся друг от друга языки и часовые пояса, и тем самым
весьма серьезно затруднить дальнейшее изучение. Из-за наличия
прокси-переадресации зачастую не удается найти никаких конкретных улик того, что
на системах внешнего контура имеется вредоносный контент, а отключенное
протоколирование трафика еще больше ограничивает попытки проведения аудита.
Ну и наконец, в-третьих, сервисные сети fast-flux продлевают жизненный цикл
базовых управляющих серверов, прикрытых от посторонних глаз оболочкой из узлов
внешнего уровня. Выявление и отключение таких серверов занимает намного большее
время, поскольку этот процесс затрудняют множественные перенаправления между
узлами, которые очень часто находятся в тех странах, которые весьма лояльно
относятся к киберпреступникам и предоставляют им "пуленепробиваемые" хостинги.
Реальные примеры сетей Fast-Flux
Объяснив основополагающие принципы, на которых основаны сети fast-flux, мы
приступим к их изучению с точки зрения криминала, рассматривая те основные шаги,
которые необходимо сделать для организации сети fast-flux. Вначале для своих
атак наши преступники регистрируют домен. Например, это может быть подставной
домен, имитирующий банковский сайт, или сайт, рекламирующий лекарства. Для наших
целей мы будем использовать название example.com, хотя, согласно проведенным
исследованиям, наиболее часто встречающимися окончаниями доменных имен верхнего
уровня для сетей fast-flux являются.info и .hk. Может быть, причиной тому
послужил более слабый контроль со стороны регистраторов имен в этих доменных
зонах. Зачастую эти фальшивые домены регистрируются мошенническими методами,
например, при помощи ворованных кредитных карт или с использованием
недостоверной регистрационной информации. На момент регистрации преступники
зачастую уже имеют под своим контролем сети инфицированных машин, и поэтому
могут использовать их в качестве редиректоров. Возможна также и аренда ботнета.
Плюс к этому, обычно выбираются те регистраторы, чьи услуги стоят меньше всего.
Затем хакеры прописывают такие записи серверов имен, которые указывают и на
"пуленепробиваемые" хостинги, и на любой из имеющихся в их распоряжении узлов
flux-агентов. В качестве примеров "пуленепробиваемых" хостингов можно привести
DNS-сервисы в России, Китае и многих других странах. Если же доступа к таким
службам нет, хостинг организуется в принадлежащих преступникам сетях зараженных
машин, иногда заниматься обслуживанием DNS-сервисов может даже базовый
управляющий сервер сервисной сети fast-flux. Во второй части нашей статьи мы
рассмотрим два реальных примера сетей fast-flux.
Источник:
http://www.honeynet.org/papers/ff/
Продолжение следует.