Fast Flux Dns Или Новые Технологии Киберпреступности

Одной из наиболее активных угроз, с которыми мы сталкиваемся сегодня в Интернете, является киберпреступность.

Преступники все чаще разрабатывают более эффективные способы получения прибыли от преступной деятельности в Интернете.

Эта статья демонстрирует рост популярности сложной технологии, называемой сетью Fast-Flux, которую мы видим все чаще используемой в дикой природе.

Сети Fast-Flux — это сети взломанных компьютерных систем с публичными записями DNS, которые постоянно меняются, в некоторых случаях каждые 3 минуты.

Постоянно меняющаяся архитектура значительно усложняет отслеживание и пресечение преступной деятельности.

Что такое Fast Flux DNS?

Злоупотребляя технологией DNS, преступник может создать ботнет из хостов, подключаться через них и изменять их быстрее, чем правоохранительные органы смогут отследить.

Fast Flux DNS использует метод балансировки нагрузки, встроенный в систему доменных имен.

DNS позволяет администратору зарегистрировать n-ное количество IP-адресов с одним именем хоста.

Альтернативные адреса по закону используются для распределения интернет-трафика между несколькими серверами.

Обычно IP-адреса, связанные с хостом домена, меняются не очень часто, если вообще меняются.

Однако преступники обнаружили, что они могут скрывать серверы ключей, используя 1/62 времени жизни (TTL) записи ресурса DNS, связанной с IP-адресом, и изменять их очень быстро.

Поскольку злоупотребление системой требует сотрудничества с регистратором доменных имен, считается, что большинство DNS-ботнетов Fast flux происходят из развивающихся стран или других стран, где нет законов о киберпреступности.

По данным проекта Honeypot, DNS-ботнеты Fast Flux несут ответственность за многие незаконные действия, включая фишинговые веб-сайты, незаконные онлайн-продажи медицинских товаров, экстремистские или незаконные сайты с контентом для взрослых, вредоносные сайты, использующие уязвимости браузера, а также веб-ловушки для распространения вредоносного ПО.

программы.

Примеры из реальной жизни

Примером может служить домен с поддельным доменным именем, похожим на название банка, или сайт, рекламирующий продажу фармацевтических препаратов.

В нашем случае мы будем использовать example.com. Согласно нашим исследованиям, домены .

info и .

hk являются одними из наиболее часто используемых доменов верхнего уровня (TLD).

Это может быть связано с тем, что реселлеры этих регистраторов доменов имеют более слабый контроль, чем другие TLD. Часто эти поддельные домены регистрируются мошенническими способами, например, с помощью кражи кредитных карт и поддельных документов, или другими способами.

Преступники часто уже имеют сеть скомпрометированных систем, которые могут выступать в качестве перенаправителей, или же они могут временно арендовать ботнет. Кроме того, часто регистрируются самые дешевые домены.

Затем преступники публикуют записи сервера имен (NS) или указывают на неправомерный хостинг и любые прокси/перенаправления Flux-агентов, находящихся под их контролем.

Примерами надежного хостинг-провайдера могут быть службы DNS из России, Китая и многих других стран мира.

Если у преступников нет доступа к этому типу сервисов, они создают DNS-сервисы в своих собственных скомпрометированных системах и часто на узлах Mothership, на которых размещаются сайты.

Теперь мы рассмотрим два реальных случая развертывания.

Single-Flux: денежный мул

Денежный мул — это тот, кто выступает посредником при переводе или снятии денег, часто занимается мошенничеством.

Например, преступник украдет деньги с банковского счета, кто-то переведет их на банковский счет денежного мула, то есть деньги, которые мул снимает, пересылает их по месту жительства преступника, возможно, в другую страну.

Уникальность некоторых современных афер с денежными мулами заключается в том, что они могут думать, что работают на законные компании, не осознавая, что действуют от имени преступников в схемах отмывания денег.

Часто денежный мул на самом деле является лишь еще одной жертвой в цепочке других жертв.

Ниже приведены однопоточные DNS-записи, типичные для такой инфраструктуры.

Таблицы DNS моментальных снимков сайта divewithsharks.hk меняются примерно каждые 30 минут, при этом пять записей возвращаются циклически, что демонстрирует явное проникновение в домашние/корпоративные коммутируемые и широкополосные сети.

Обратите внимание, что записи NS не изменяются, но некоторые записи A отличаются.

Это сайт Money Mule:

;; WHEN: Sat Feb 3 20:08:08 2007 divewithsharks.hk. 1800 IN A 70.68.187.xxx [xxx.vf.shawcable.net] divewithsharks.hk. 1800 IN A 76.209.81.xxx [SBIS-AS - AT&T Internet Services] divewithsharks.hk. 1800 IN A 85.207.74.xxx [adsl-ustixxx-74-207-85.bluetone.cz] divewithsharks.hk. 1800 IN A 90.144.43.xxx [d90-144-43-xxx.cust.tele2.fr] divewithsharks.hk. 1800 IN A 142.165.41.xxx [142-165-41-xxx.msjw.hsdb.sasknet.sk.ca] divewithsharks.hk. 1800 IN NS ns1.world-wr.com. divewithsharks.hk. 1800 IN NS ns2.world-wr.com. ns1.world-wr.com. 87169 IN A 66.232.119.212 [HVC-AS - HIVELOCITY VENTURES CORP] ns2.world-wr.com. 87177 IN A 209.88.199.xxx [vpdn-dsl209-88-199-xxx.alami.net]

Сети Single-Flux пытаются применить некоторую форму логики при принятии решения, какой из существующих IP-адресов будет объявлен в следующем наборе ответов.

Это может быть основано на непрерывном мониторинге качества канала и, возможно, на алгоритме балансировки нагрузки.

Новые IP-адреса агента потока вставляются в быстрый поток сервисной сети для замены низкопроизводительных узлов, подлежащих смягчению последствий или другим отчетам узлов.

Теперь давайте посмотрим на DNS-записи того же доменного имени через 30 минут и посмотрим, что изменилось:

;; WHEN: Sat Feb 3 20:40:04 2007 (~30 minutes/1800 seconds later) divewithsharks.hk. 1800 IN A 24.85.102.xxx [xxx.vs.shawcable.net] NEW divewithsharks.hk. 1800 IN A 69.47.177.xxx [d47-69-xxx-177.try.wideopenwest.com] NEW divewithsharks.hk. 1800 IN A 70.68.187.xxx [xxx.vf.shawcable.net] divewithsharks.hk. 1800 IN A 90.144.43.xxx [d90-144-43-xxx.cust.tele2.fr] divewithsharks.hk. 1800 IN A 142.165.41.xxx [142-165-41-xxx.msjw.hsdb.sasknet.sk.ca] divewithsharks.hk. 1800 IN NS ns1.world-wr.com. divewithsharks.hk. 1800 IN NS ns2.world-wr.com. ns1.world-wr.com. 85248 IN A 66.232.119.xxx [HVC-AS - HIVELOCITY VENTURES CORP] ns2.world-wr.com. 82991 IN A 209.88.199.xxx [vpdn-dsl209-88-199-xxx.alami.net]

Как мы видим, два из объявленных IP-адресов изменились.

Опять же, эти два IP-адреса принадлежат коммутируемому или широкополосному сегменту сети.

Еще через 30 минут поиск по местности возвращает следующую информацию:

;; WHEN: Sat Feb 3 21:10:07 2007 (~30 minutes/1800 seconds later) divewithsharks.hk. 1238 IN A 68.150.25.xxx [xxx.ed.shawcable.net] NEW divewithsharks.hk. 1238 IN A 76.209.81.xxx [SBIS-AS - AT&T Internet Services] This one came back! divewithsharks.hk. 1238 IN A 172.189.83.xxx [xxx.ipt.aol.com] NEW divewithsharks.hk. 1238 IN A 200.115.195.xxx [pcxxx.telecentro.com.ar] NEW divewithsharks.hk. 1238 IN A 213.85.179.xxx [CNT Autonomous System] NEW divewithsharks.hk. 1238 IN NS ns1.world-wr.com. divewithsharks.hk. 1238 IN NS ns2.world-wr.com. ns1.world-wr.com. 83446 IN A 66.232.119.xxx [HVC-AS - HIVELOCITY VENTURES CORP] ns2.world-wr.com. 81189 IN A 209.88.199.xxx [vpdn-dsl209-88-199-xxx.alami.net]

Теперь мы видим четыре новых IP-адреса и один IP-адрес, который мы видели в первом запросе.

Это указывает на механизм адресации циклического ответа, используемый в сетях fast-flux. Как мы видели в этом примере, записи домена постоянно меняются.

Каждая из этих систем представляет угрозу, хост действует как перенаправитель, а перенаправитель в конечном итоге указывает на веб-сайт денежного мула.

Важным моментом здесь является то, что аналитики не могут узнать реальный адрес сайта, пока не получат доступ к одному из узлов редиректора, что создает динамически изменяющуюся и, следовательно, надежную защитную оболочку для киберпреступников.

Далее мы рассмотрим двухпоточные сети fast-flux, в архитектуру которых злоумышленники вводят дополнительный уровень защиты для усиления собственной безопасности.

— Это лишь малая часть описания возможностей этой технологии.

Если кому-то из вас интересно, я добавлю.

Или вы можете попытаться понять это самостоятельно, следуя связь .

*денежный мул - это по сути существо, известное на не совсем нелегальных форумах как дроп, дроп, лохотрон и т.п.

лицо, которого используют в своих противоправных целях, без его ведома.

Теги: #новые технологии #hack day #dns #прокси #Алгоритмы

• Праведное Убийство: Месть Как Образ Жизни

  19 Oct, 24

• Ферма, Пьер

  19 Oct, 24

• История Моей Жизни: Приключения

  19 Oct, 24

• Взвешиваем Метрики: Как Расставить Приоритеты В Работе В Стартапе

  19 Oct, 24

• Nophone — Кусок Пластика, Который Избавит От Смартфонозависимости

  19 Oct, 24

• Инфраструктура Открытых Ключей: Центр Сертификации На Базе Openssl И Утилиты Sqlite3 (Postscript).

  19 Oct, 24

• Самогонный Аппарат Полностью Автоматический. Часть 3. Финал

  19 Oct, 24

• Как Оптимизировать Работу Аэропорта С Помощью Машинного Обучения

  19 Oct, 24

• Хорошая Технология

  19 Oct, 24

• Виральность. Формула Или Удача?

  19 Oct, 24