Однопоточный Fast-Flux: дропы

Сначала рассмотрим записи DNS для однопоточной сервисной сети fast-flux.
Перед тобой реальный пример, демонстрирующий мошеннические операции по найму
дропов для снятия денег. Дроп – это человек, играющий роль промежуточного звена
в процессе перевода или снятия денежных средств, добытых преступной
деятельностью. К примеру, злоумышленник крадет деньги с какого-то банковского
счета, пересылает их на счет дропа, после чего тот снимает их и пересылает в
заранее условленное место, которое может находиться даже в другой стране. И что
самое удивительное, такие дропы могут на полном серьезе думать, что работают на
вполне законные организации, не понимая, что на самом деле они вовлечены в
процесс отмывания киберпреступных денег. Зачастую они – лишь одно из звеньев
длинной цепочки жертв.

Внизу ты видишь DNS-записи, типичные для инфраструктуры однопоточной сети.
Приведенные ниже таблицы демонстрируют слепки записей DNS для доменного имени
divewithsharks.hk, которые фиксируют изменение их состояния примерно каждые 30
минут. Как видишь, 5 А-записей циклично меняются, показывая очевидное
проникновение в сети домашнего или корпоративного коммутируемого и
широкополосного доступа. Обрати внимание, что NS-записи остаются неизменными, в
то время как некоторые А-записи изменяются. Сайт divewithsharks.hk служит для
найма дропов.

 ;; WHEN: Sat Feb 3 20:08:08 2007
divewithsharks.hk. 1800 IN A 70.68.187.xxx [xxx.vf.shawcable.net]
divewithsharks.hk. 1800 IN A 76.209.81.xxx [SBIS-AS - AT&T Internet Services]
divewithsharks.hk. 1800 IN A 85.207.74.xxx [adsl-ustixxx-74-207-85.bluetone.cz]
divewithsharks.hk. 1800 IN A 90.144.43.xxx [d90-144-43-xxx.cust.tele2.fr]
divewithsharks.hk. 1800 IN A 142.165.41.xxx
[142-165-41-xxx.msjw.hsdb.sasknet.sk.ca]

divewithsharks.hk. 1800 IN NS ns1.world-wr.com.
divewithsharks.hk. 1800 IN NS ns2.world-wr.com.

ns1.world-wr.com.  87169 IN A 66.232.119.212 [HVC-AS - HIVELOCITY VENTURES CORP]
ns2.world-wr.com.  87177 IN A 209.88.199.xxx [vpdn-dsl209-88-199-xxx.alami.net
]

Похоже, в однопоточных сетях процессом принятия решений о том, какие именно
из доступных IP-адресов будут участвовать в следующем пуле ответов на запросы,
управляет какая-то определенная логика. Возможно, контроль процедуры основан на
мониторинге качества текущего соединения или алгоритме сбалансированного
распределения нагрузки. Новые адреса flux-агентов добавляются в схему вместо тех
узлов, которые демонстрируют недостаточную производительность, что позволяет
выводить из процесса неактивные адреса. Теперь давай взглянем на DNS-записи того
же доменного имени по прошествии тридцати минут и посмотрим, что же там
изменилось:

 ;; WHEN: Sat Feb 3 20:40:04 2007 (примерно 30 минут/1800 секунд
спустя)
divewithsharks.hk. 1800 IN A 24.85.102.xxx [xxx.vs.shawcable.net] НОВЫЙ
divewithsharks.hk. 1800 IN A 69.47.177.xxx [d47-69-xxx-177.try.wideopenwest.com]
НОВЫЙ
divewithsharks.hk. 1800 IN A 70.68.187.xxx [xxx.vf.shawcable.net]
divewithsharks.hk. 1800 IN A 90.144.43.xxx [d90-144-43-xxx.cust.tele2.fr]
divewithsharks.hk. 1800 IN A 142.165.41.xxx
[142-165-41-xxx.msjw.hsdb.sasknet.sk.ca]

divewithsharks.hk. 1800 IN NS ns1.world-wr.com.
divewithsharks.hk. 1800 IN NS ns2.world-wr.com.

ns1.world-wr.com.  85248 IN A 66.232.119.xxx [HVC-AS - HIVELOCITY VENTURES CORP]
ns2.world-wr.com.  82991 IN A 209.88.199.xxx [vpdn-dsl209-88-199-xxx.alami.net]

Как видишь, два транслируемых IP-адреса изменились. Еще раз подчеркнем, что
они принадлежат сетям коммутируемого или широкополосного доступа. А просмотр
DNS-записей еще 30 минут спустя позволяет нам лицезреть следующую картину:

 ;; WHEN: Sat Feb 3 21:10:07 2007 (приблизительно 30минут/1800 секунд
спустя)
divewithsharks.hk. 1238 IN A 68.150.25.xxx [xxx.ed.shawcable.net] НОВЫЙ
divewithsharks.hk. 1238 IN A 76.209.81.xxx [SBIS-AS - AT&T Internet Services]
Вернулся старый адрес!
divewithsharks.hk. 1238 IN A 172.189.83.xxx [xxx.ipt.aol.com] НОВЫЙ
divewithsharks.hk. 1238 IN A 200.115.195.xxx [pcxxx.telecentro.com.ar] НОВЫЙ
divewithsharks.hk. 1238 IN A 213.85.179.xxx [CNT Autonomous System] НОВЫЙ

divewithsharks.hk. 1238 IN NS ns1.world-wr.com.
divewithsharks.hk. 1238 IN NS ns2.world-wr.com.

ns1.world-wr.com. 83446 IN A 66.232.119.xxx [HVC-AS - HIVELOCITY VENTURES CORP]
ns2.world-wr.com.  81189 IN A 209.88.199.xxx [vpdn-dsl209-88-199-xxx.alami.net]

На этот раз мы обнаружили появление четырех новых IP-адресов и возвращение
одного IP-адреса из самого первого запроса. Это показывает цикличность механизма
замены IP-адресов в сервисных сетях fast-flux. Как видно из проиллюстрированного
примера, А-записи для домена постоянно меняются. Каждая из показанных систем
представляет собой скомпрометированный хост, выступающий в качестве редиректора,
указывающего на сайт по набору дропов. Важным моментом здесь является то
обстоятельство, что аналитики не в состоянии узнать действительный адрес сайта
до тех пор, пока не получат доступ к одному из узлов-редиректоров, что создает
динамически изменяющуюся и потому крепкую защитную оболочку для
киберпреступников. Далее мы рассмотрим двухпоточные сети fast-flux в архитектуре
которых злоумышленники внедряют дополнительный уровень защиты для укрепления
собственной безопасности.

 

Двухпоточный Fast-Flux: My Space

Двухпоточная сеть fast-flux – эта такая система, в которой для обеспечения
дополнительной динамики постоянно меняется и NS-запись (запись полномочного
сервера имен для доменного имени) и А-запись (адресная запись обслуживающего или
целевого хоста). Чтобы схема организации двухпоточной сети сработала,
регистратор доменного имени должен позволять администратору домена вносить
частые изменения в эти записи, что не является распространенной практикой в
типичной процедуре управления доменом.

В приведенном ниже примере мы рассмотрим фишинговую атаку, направленную на
сайт популярной социальной сети MySpace. Хакер создал поддельный веб-сайт и дал
ему имя login.mylspacee.com. Визуально фальшивка напоминает настоящий адрес
сайта MySpace, однако служит она исключительно для сбора данных авторизации тех
людей, которых удалось заманить на этот подложный ресурс. Для того чтобы
затруднить процедуру нейтрализации вредоносного сайта, его NS- и А-записи
постоянно меняются. Исходя из опыта наблюдения за подобными ситуациями, можно
сказать, что для двухпоточных сетей типична цикличная смена от пяти до десяти
А-записей, усугубляемая изменением до пяти имеющихся в наличии NS-записей для
каждого из доменов. Такое поведение – характерный признак домена,
функционирующего в двухпоточной сервисной сети fast-flux. Взгляни, как меняются
все эти DNS-записи:

 ;; WHEN: Wed Apr 4 18:47:50 2007
login.mylspacee.com. 177 IN A 66.229.133.xxx
[c-66-229-133-xxx.hsd1.fl.comcast.net]
login.mylspacee.com. 177 IN A 67.10.117.xxx [cpe-67-10-117-xxx.gt.res.rr.com]
login.mylspacee.com. 177 IN A 70.244.2.xxx
[adsl-70-244-2-xxx.dsl.hrlntx.swbell.net]
login.mylspacee.com. 177 IN A 74.67.113.xxx [cpe-74-67-113-xxx.stny.res.rr.com]
login.mylspacee.com. 177 IN A 74.137.49.xxx [74-137-49-xxx.dhcp.insightbb.com]

mylspacee.com. 108877 IN NS ns3.myheroisyourslove.hk.
mylspacee.com. 108877 IN NS ns4.myheroisyourslove.hk.
mylspacee.com. 108877 IN NS ns5.myheroisyourslove.hk.
mylspacee.com. 108877 IN NS ns1.myheroisyourslove.hk.
mylspacee.com. 108877 IN NS ns2.myheroisyourslove.hk.

ns1.myheroisyourslove.hk.854 IN A 70.227.218.xxx
[ppp-70-227-218-xxx.dsl.sfldmi.ameritech.net]
ns2.myheroisyourslove.hk.854 IN A 70.136.16.xxx
[adsl-70-136-16-xxx.dsl.bumttx.sbcglobal.net]
ns3.myheroisyourslove.hk. 854 IN A 68.59.76.xxx
[c-68-59-76-xxx.hsd1.al.comcast.net]
ns4.myheroisyourslove.hk. 854 IN A 70.126.19.xxx
[xxx-19.126-70.tampabay.res.rr.com]
ns5.myheroisyourslove.hk. 854 IN A 70.121.157.xxx
[xxx.157.121.70.cfl.res.rr.com]

Через четыре минуты поменялись лишь А-записи, NS-записи остались прежними.

  ;; WHEN: Wed Apr 4 18:51:56 2007 (около 4 минут/186 секунд спустя)
login.mylspacee.com. 161 IN A 74.131.218.xxx [74-131-218-xxx.dhcp.insightbb.com]
НОВАЯ
login.mylspacee.com. 161 IN A 24.174.195.xxx [cpe-24-174-195-xxx.elp.res.rr.com]
НОВАЯ
login.mylspacee.com. 161 IN A 65.65.182.xxx
[adsl-65-65-182-xxx.dsl.hstntx.swbell.net] НОВАЯ
login.mylspacee.com. 161 IN A 69.215.174.xxx
[ppp-69-215-174-xxx.dsl.ipltin.ameritech.net] НОВАЯ
login.mylspacee.com. 161 IN A 71.135.180.xxx
[adsl-71-135-180-xxx.dsl.pltn13.pacbell.net] НОВАЯ

mylspacee.com. 108642 IN NS ns3.myheroisyourslove.hk.
mylspacee.com. 108642 IN NS ns4.myheroisyourslove.hk.
mylspacee.com. 108642 IN NS ns5.myheroisyourslove.hk.
mylspacee.com. 108642 IN NS ns1.myheroisyourslove.hk.
mylspacee.com. 108642 IN NS ns2.myheroisyourslove.hk.

ns1.myheroisyourslove.hk. 608 IN A 70.227.218.xxx
[ppp-70-227-218-xxx.dsl.sfldmi.ameritech.net]
ns2.myheroisyourslove.hk. 608 IN A 70.136.16.xxx
[adsl-70-136-16-xxx.dsl.bumttx.sbcglobal.net]
ns3.myheroisyourslove.hk. 608 IN A 68.59.76.xxx
[c-68-59-76-xxx.hsd1.al.comcast.net]
ns4.myheroisyourslove.hk. 608 IN A 70.126.19.xxx
[xxx-19.126-70.tampabay.res.rr.com]
ns5.myheroisyourslove.hk. 608 IN A 70.121.157.xxx
[xxx.157.121.70.cfl.res.rr.com]

Через полчаса появляется и пять новый NS-записей. Как и в первом случае,
A-записи и NS-записи принадлежат хостам в сетях операторов коммутируемого и
широкополосного доступа, а это свидетельствует о том, что они были
предварительно взломаны хакерами и используются ими для неблаговидных целей:

 ;; WHEN: Wed Apr 4 21:13:14 2007 (~90 minutes/4878 seconds later)
ns1.myheroisyourslove.hk. 3596 IN A 75.67.15.xxx
[c-75-67-15-xxx.hsd1.ma.comcast.net] НОВАЯ
ns2.myheroisyourslove.hk. 3596 IN A 75.22.239.xxx
[adsl-75-22-239-xxx.dsl.chcgil.sbcglobal.net] НОВАЯ
ns3.myheroisyourslove.hk. 3596 IN A 75.33.248.xxx
[adsl-75-33-248-xxx.dsl.chcgil.sbcglobal.net] НОВАЯ
ns4.myheroisyourslove.hk. 180 IN A 69.238.210.xxx
[ppp-69-238-210-xxx.dsl.irvnca.pacbell.net] НОВАЯ
ns5.myheroisyourslove.hk. 3596 IN A 70.64.222.xxx [xxx.mj.shawcable.net] НОВАЯ

 

Вредоносные приложения для работы с Fast-Flux

Функциональность flux-агентов совпадает с чертами, присущими традиционным и
незамысловатым IRC-ботам по следующим параметрам: они регулярно "звонят" домой
для отчета о собственной готовности, проверяют наличие обновлений, управляют
процедурой загрузки и помогают осуществлять удаленный ввод произвольных команд,
адресованных локальной операционной системе. Однако практически вся активность
центров управления fast-flux основана на протоколе HTTP.

Способность flux-агентов к промежуточному управлению и перенаправлению TCP
унаследована, по всей видимости, от тех IRC-ботов, которые имели возможности по
перенаправлению UDP. Внедрение этих функций делает сети fast-flux мощным орудием
в руках криминалитета и помогает их организаторам быть менее заметными.
Находящиеся на входе в систему узлы могут как действовать по команде, так и
выполнять жестко заданные инструкции по перенаправлению входящего на указанные
порты трафика на расположенные в восходящем потоке данных базовые серверы. Были
отмечены также некоторые операции по управлению распределенной сетью узлов,
участвующих преимущественно в проверке качества связи и доступности конкретных
flux-агентов сервисной сети. Ниже мы опишем два наиболее часто встречающиеся
типа приложений, имеющих возможности по работе с fast-flux.

 

Warezov/ Stration:

Сети, организованные при помощи разновидностей этого вредоносного ПО,
призваны основать твердую платформу для рассылки больших объемов нежелательной
электронной корреспонденции. Поставленных перед ними задач они достигают весьма
успешно, используя при этом такие продвинутые технологии, как постоянное
автоматическое создание разновидностей самих себя, что весьма осложняет создание
антивирусных сигнатур. Инфицированные машины загружают подобные обновления
согласно регулярному графику, увеличивая тем самым количество времени, которое
требуется для очистки зараженной системы. Обновления хранятся на веб-сайтах,
поэтому публичные адреса таких ресурсов остаются неизменными, что делает их
обезвреживание сравнительно простым. До недавних пор для защиты сайтов
обновления вредоносных программ использовалась методика генерации
псевдослучайных доменных имен, однако с мая 2007 года воротилы спам-бизнеса
перешли на модель с использованием fast-flux. Теперь DNS-сервисы и сайты
загрузки базируются в сервисных сетях, а их создатели наслаждаются всеми благами
своего продолжительного успеха.

 

Storm:

Основным соперником банды Warezov/Stration является криминальная организация,
управляющая огромной сетью рассылки спама, организованной с помощью семейства
вредоносных программ, известных как Storm/Peacomm/Peed. Управление ботнетом
осуществляется с использованием P2P-обмена, основанного на протоколе UDP. Если
решить задачи по минимизации задержек и управлению списками узлов, то такой
подход будет являться весьма эффективным средством для работы с большой
распределенной сетью. К достоинствам данного типа ПО относится и наличие
встроенных средств для борьбы с фильтрацией почты, таких, например, как
генерация основанного на изображениях спама в режиме реального времени
непосредственно на конечных узлах flux-агентов. Содержащие спам изображения
изменяются таким образом, чтобы ввести в заблуждение инструменты оптического
распознавания, имеющиеся в некоторых антиспам-продуктах. Возвращаясь
непосредственно к предмету разговора, отметим, что организаторы этой сети
предприняли первые попытки перехода на технологию fast-flux в июне 2007 года.
Этот шаг дал вредоносным приложениям значительное преимущество, поэтому схема их
работы требует дальнейшего изучения.

 

Изучение проблемы Fast-Flux

Мы обсудили несколько реальных примеров работы сетей fast-flux. Теперь давай
взглянем на ситуацию более пристально. Для целей нашего исследования мы умышлено
заразили наш honeypot агентом fast-flux. Honeypot-система работала в
контролируемом окружении Honeywall, а использованное вредоносное ПО называлось
weby.exe и имело MD5-хэш 70978572bc5c4fecb9d759611b27a762 . Бинарный код
выполнялся в виртуализованной среде, взаимодействие с внешним миром
осуществлялось через шлюз Honeywall, обладающий функциями контроля и
протоколирования данных. Анализ произошедших после заражения событий выявил
следующую активность:

1. Во-первых, система обращается к доменному имени www.google.com. Скорее
всего, делается это для проверки наличия интернет-соединения, поскольку
вредоносному приложению необходимо убедиться в возможности выхода в Интернет и
наличии способности преобразовывать DNS-имена.

2. Агент регистрируется у хозяина. Происходит это через соединение с
виртуальным хостом при помощи запроса HTTP GET и URL-строки с данными о
зараженной машине. Этот канал не используется для управления, он предназначен
лишь для того, чтобы уведомить администратора об успешном заражении очередной
жертвы. Форма запроса выглядит следующим образом:

http://xxx.ifeelyou.info/settings/weby/remote.php?os= &user= &status=
&version= &build= &uptime=

3. В ответ на уведомление базовый сервер сети fast-flux сообщает "Успешно
добавлен!", что, как мы полагаем, должно означать успешное добавление нового
бота в инфраструктуру fast-flux. Очередная жертва заступает на вредоносную
вахту.

4. Следующим шагом зараженной системы является получение файла конфигурации.
Файл настроек агент получает, ежечасно опрашивая удаленный веб-сервер. В этот
момент flux-агент получает детализированные инструкции, включающие назначение
порта, информацию о расположении базового сервера и сведения о трафике, который
необходимо на него перенаправлять. В нашем случае flux-агент выполняет запрос
HTTP GET на другой виртуальный веб-хост, который имеет такой же IP-адрес, что и
хост регистрации flux-агента:

http://xxx.iconnectyou.biz/settings/weby/settings.ini

Сервер отвечает на него закодированным файлом конфигурации, который имеет
постоянный размер в 197 байт. В данный момент мы продолжаем попытки
декомпилировать эту сессию.

5. Ну и наконец, система загружает dll-файл с подозрительным названием
plugin_ddos.dll, который, по всей видимости, является компонентом для проведения
DDoS-атак.

 

Статистика

Для того, чтобы ты лучше осознал возможности сервисных сетей fast-flux и
число систем, которые в них обычно используются, мы предоставим тебе статистику,
связанную с работой одной такой сети, вовлеченной в реализацию мошеннической
схемы с сетевым фармацевтическим магазином PharmaShop. Вот ключевые моменты.

Сбор данных происходил в период с третьего по одиннадцатое февраля 2007 года.
Сам домен greatfriedrice.info был создан 2-го января 2007 года в 15:11, а
прекратил работу 13-го февраля 2007 года в 04:26 по восточному поясному времени.
Запрос DNS происходил каждые две минуты, после чего собиралась информация о
присвоенных домену IP-адресах и о том, как эти IP-адреса (A-записи и NS-записи)
менялись с течением времени. Всего в ходе исследования был выявлен 3241
уникальный IP-адрес. Из них 1516 адресов были представлены как адреса узлов,
отвечающих за доменную зону. 2844 IP-адреса с короткими TTL принадлежали
используемым в ходе цикличных замен HTTP-редиректорам. Кроме этого, в базе было
представлено 256 автономных систем (AS). 181 автономная система обслуживала
fluxDNS, в то же время 241 такая система использовалась для
fluxHTTP-переадресации. Возможно, это связано с политикой провайдеров по
блокировке входящего трафика по портам UDP 53 или TCP 80. Приведенная ниже
таблица иллюстрирует те автономные системы, в которых находилось большинство
зараженных машин, являвшихся частью сервисной сети fast-flux. Данный пример был
выбран из-за высокой частоты мониторинга (каждые две минуты). К моменту
завершения исследования было зарегистрировано свыше 80 000 flux-IP и более чем
1,2 миллиона уникальных соответствий.

Распределение AS в DNS-сети Fast-Flux

Всего# AS#
331 7132 (SBC/ATT)
300 1668 (AOL)
47 11427 (RR)
40 33287
35 11426
28 3356
27 33491
27 20115
25 7015
25 13343

Всего# AS#
668 7132 (SBC/ATT)
662 1668 (AOL)
75 3356
73 11427
51 33287
46 33491
40 20115
39 11426
37 7015
36 11351

 

Обнаружение и минимизация ущерба

Цель написания данной статьи заключается не только в том, чтобы разъяснить,
какую угрозу представляют сервисные сети fast-flux, но также и в том, чтобы
выработать советы по их обнаружению и минимизации причиняемого такими сетями
ущерба. Мы выдвинем несколько предложений, которые могут указать на определенные
потенциальные действия и сформулируем краткое описание возможных мер по снижению
негативного эффекта, вызванного работой сетей fast-flux. Однако представленное
описание претендовать на полноту вряд ли сможет, поскольку столь сложная тема
достойна отдельного исследования.

Выявить и отключить сеть fast-flux может быть очень и очень сложно.
Обнаружение доменных имен, обслуживаемых такими сетями, требует многократного
анализа результатов DNS-запросов, при этом точность обнаружения возрастет, если
внедрить такой механизм подсчета, который был бы в состоянии оценивать
сравнительно недолго живущие DNS-записи и принимать во внимание число A-записей,
возвращаемых в ответ на каждый запрос, число возвращаемых NS-записей,
диверсифицированность представленных невзаимосвязанных сетей, а также наличие
коммутируемого и широкополосного доступа. Вдобавок к этому короткие TTL должны
анализироваться в связке с подсчетом результатов для каждого домена или имени
хоста, основанных на множественной проверке периодов истечения срока TTL.

Определить базовый сервер можно, если определенным образом прозондировать
прокси-сети из flux-агентов. Приняв за основу предположение, что flux-агент
перенаправляет трафик по TCP-порту 80 или по UDP-порту 53 на пока неизвестный
хост, можно запрограммировать систему обнаружения вторжений таким образом, чтобы
она поднимала тревогу в случае прохождения нетипичного, редко встречающегося
запроса, и идентифицировала тем самым работу базового сервера сети fast-flux.
Основная идея заключается в том, чтобы разослать зондирующие пакеты и затем
наблюдать за их прохождением от flux-агента до реального базового сервера.
Отдельных значительных усилий потребует и определение любых других
инфраструктурных компонентов сети fast-flux, таких например, как механизм
мониторинга доступности и качества связи, а также системы дозвона домой и схемы
регистрации новых ботов.

Следующий пример демонстрирует процесс обнаружения базового хоста, в ходе
которого задействована система обнаружения вторжений. Как часть HTTP- или
DNS-запроса через flux-агент посылается приветствие в виде закодированной в
Base64 текстовой строки. Делается это для того, чтобы проследить весь сетевой
путь и использовать при этом легко идентифицируемые строки. Отследить путь можно
в два этапа, через любой flux-агент, данные о котором были получены в ходе
DNS-мониторинга flux-доменов. Данные сигнатуры Snort указывают на процесс
взаимодействия HTTP и DNS, в ходе которого пересылается строка Base64,
содержащая текст "helloflux" (aGVsbG9mbHV4IAo). Эти сигнатуры закладываются в
датчики системы обнаружения вторжений, после чего в сеть fast-flux высылается
сообщение. И если один из датчиков его обнаружит, можно выявить подлинный адрес,
на который оно было послано flux-агентом.

alert tcp $HOME_NET 1024:5000 -> !$HOME_NET 80 (msg:
"FluxHTTP_Upstream_DST"; flow: established,to_server; content:"aGVsbG9mbHV4IAo";
offset: 0; depth: 15; priority: 1; classtype:trojan-activity; sid: 5005111; rev:
1;)

alert udp $HOME_NET 1024:65535 -> !$HOME_NET 53 (msg:
"FluxDNS_Upstream_DST"; content: "|00 02 01 00 00 01|"; offset: 0; depth: 6;
content:"aGVsbG9mbHV4IAo"; within: 20; priority: 1; classtype:trojan-activity;
sid: 5005112; rev: 1;)

Нижеследующие простые скрипты вставляют закодированную в Base64 строку
"helloflux" (aGVsbG9mbHV4IAo) в HTTP- и DNS-запрос request. С помощью
приведенных выше сигнатур Snort есть возможность отследить путь этих запросов в
сети.

$ echo fluxtest.sh ;
#!/bin/bash
# Simple shell script to test
# suspected flux nodes on your managed networks
echo " aGVsbG9mbHV4IAo" | nc -w 1 ${1} 80
dig +time=1 aGVsbG9mbHV4IAo.dns.com @${1}

Если возможности мониторинга вторжений в пользовательской зоне у провайдера
нет, но есть возможность сбора информации по протоколу NetFlow, данный механизм
также может быть использован для обнаружения сети fast-flux. Он не так хорош,
как описанный выше метод с использованием мониторинга, однако анализ трафика по
TCP 80 и по UDP 53 в пользовательской зоне – уже неплохое начало. Такая
разновидность трафика в обычной ситуации не встречается, а потому указывает на
возможное наличие flux-агента. Представленный ниже перечень рекомендаций
предлагает еще ряд идей по поводу того, как остановить эту угрозу. В скобках мы
указали, кем должны внедряться указанные мероприятия:

  1. Внедрить политики блокировки TCP 80 и UDP 53 в пользовательской зоне сети
    (провайдер).
  2. Заблокировать доступ к контролирующей инфраструктуре [базовым серверам,
    системе регистрации, инструментам контроля доступности] (провайдер).
  3. Улучшить процесс регистрации и аудита доменных имен на предмет возможного
    мошеннического использования (регистратор).
  4. Увеличить компетентность сервисных служб, воспитать понимание угроз и
    стремление к осведомленности (провайдер).
  5. Проводить инъекции в шлюзовые протоколы и DNS, чтобы уничтожать базовые
    серверы и управляющую инфраструктуру (провайдер).
  6. Пассивный мониторинг DNS для выявления A-записей или NS-записей,
    транслируемых в публичное пользовательское IP-пространство (провайдеры,
    регистраторы, эксперты и т.д.).
 

Выводы

Сервисные сети fast-flux демонстрируют нам еще один шаг на пути эволюционного
развития деятельности киберпреступников. Они предлагают устойчивую, скрытую
инфраструктуру доставки контента, пресечь деятельность которой
правоохранительным органам и системным администраторам весьма непросто.
Масштабируемость, надежность, наличие средств обфускации и увеличивающаяся
доступность сервисов на базе fast-flux обеспечивают киберпреступникам возросший
уровень эффективности операций и скорейший возврат вложенных инвестиций.
Интернет для онлайн-мошенников – лишь рынок для реализации бизнес моделей,
поэтому, к нашему общему сожалению, эволюция технологий, подобных fast-flux,
будет лишь продолжаться. Зачастую мошенникам удается идти на шаг впереди
профессионалов в области компьютерной безопасности и эта гонка вооружений в
обозримом будущем не утихнет.

Оставить мнение

Check Also

Специалисты IOActive показали, что взлом современных роботов может быть опасно легким

Эксперты компании IOActive рассказали, как взламывать промышленных и «домашних» роботов с …