Доменные имена

www.
.ru .com .su .tv
.net .cn .рф Все
 
...

Регистрируем Домены / Статьи

XAKEP.RU: Сервисные сети Fast-Flux

Описание работы сетей fast-flux, схемы работы. Однопоточние (single-flux) и двухпоточные (double-flux) сети fast-flux.

Вступление

Одной из самых реальных угроз, с которой нам приходится сталкиваться в сети Интернет, является киберпреступность. Причем преступники постоянно совершенствуют орудия получения ими незаконной выгоды. Данная работа призвана рассказать о все более популярной методике под названием fast-flux (в дословном переводе – "быстрое течение, поток"), число случаев использования которой в открытой среде постоянно увеличивается. Сервисные сети fast-flux представляют собой сети скомпрометированных компьютеров с публичными именами DNS записей, которые постоянно меняются, иногда несколько раз в минуту. Такая постоянно изменяющаяся архитектура существенно осложняет отслеживание и пресечение преступной деятельности.

В этом исследовании мы сначала опишем, что же такое сервисные сети fast-flux, как они работают, как преступники используют их для достижения своих целей, и изучим два типа таких сетей, которые мы назвали однопоточными и двухпоточными сетями fast-flux, после чего приведем несколько свежих примеров работы подобных сетей в реальном мире. Затем мы расскажем как работает вредоносное ПО, связанное с организацией сетей fast-flux и представим результаты исследования, в ходе которого мы умышленно заразили нашу приманку агентом сети fast-flux. Ну и наконец, мы поясним, как находить и определять такие сети, а также минимизировать ущерб от их работы, преимущественно в больших сетевых окружениях.

Как работают сервисные сети Fast-Flux

Целью fast-flux является назначение любому полнофункциональному доменному имени (например, www.example.com) множества (сотен, а иногда и тысяч) IP-адресов. Переключение между ними в потоке происходит с обескураживающей быстротой, при этом используется комбинация циклического набора IP-адресов и очень маленького значения TTL для каждой отдельной записи в DNS. Новый набор IP-адресов именам хостов может назначаться с периодичностью в три минуты. Поэтому браузер, каждые три минуты соединяющийся с одним и тем же сайтом, на самом деле всякий раз соединяется с разными зараженными компьютерами. Более того, хакеры всегда заботятся о том, чтобы инфицированные машины, которые они используют для осуществления своих афер, по возможности имели максимально широкий канал и уровень доступности. Зачастую они используют такие схемы распределения нагрузки, которые учитывают результаты проверки состояния узлов сети, позволяя, таким образом, исключать из потока неактивные узлы и обеспечивать постоянную работу системы.

Помимо этого для преодоления ситуации отказа и обеспечения безопасности используется переадресация вслепую. Она позволяет пресекать попытки отслеживания и отключения узлов сети, используемых для сетей fast-flux. При этом диапазон изменяющихся IP-адресов не является конечной точкой отправки запроса на определенный контент, вместо этого инфицированные машины, находящиеся на входе в систему, работают лишь как средства перенаправления, которые "переливают" данные и запросы между находящимися глубоко внутри серверами и внешним миром. В сущности, доменные имена и ссылки на рекламируемый контент более не ассоциируются с IP-адресом определенного сервера, передаваясь вместо этого входными прокси-серверами, которые, в свою очередь, пересылают их группе внутренних серверов. И хотя одно время такая методика использовалась для вполне легальных серверных операций, целью которых было обеспечение равномерной загрузки и высокой доступности сервисов, в данном случае мы наблюдаем, как современная технология встала на службу к преступникам.

"Базы" системы fast-flux – это контролирующие элементы сети, аналогичные серверам управления сегодняшними ботнетами. Однако их функциональность по сравнению с обычным IRC-сервером типичного ботнета намного выше. Фактически, это расположенный в восходящем потоке данных управляющий узел, замаскированный сетью внешних прокси-узлов и доставляющий контент в ответ на запрос клиента-жертвы. Такие управляющие узлы способны успешно функционировать в открытых сетях весьма продолжительное время. Наблюдения показали, что они могут иметь как DNS, так и HTTP сервисы, с такой конфигурацией виртуального хостинга, которая в состоянии управлять доступностью на одном хосте тысяч доменов одновременно. Вплоть до конца марта 2007 года наблюдалось лишь два таких основных хоста, обслуживающих многие тысячи доменов в потоке, это позволяет сделать предположение о том, что их разработкой и использованием занималась ограниченная группа людей. Наиболее часто встречающимися доменами верхнего уровня при создании ресурсов, работающих с fast-flux, были домены с окончаниями .hk и .info, хотя нагрузка по их регистрации, по всей видимости, равномерно распределялась между всеми регистраторами (поскольку иногда попадались и домены с окончанием .com, например).

Мы выделили два типа сетей fast-flux и назвали их однопоточными и двухпоточными сетями fast-flux. Все, о чем ты успел прочитать к данному моменту, относилось к однопоточным сетям, а двухпоточные сети добавляют в эту архитектуру еще один дополнительный уровень безопасности, постоянно изменяя IP-адреса для ответственных за зону DNS-серверов. Мы приведем примеры сетей обоих типов, начиная с однопоточной сети fast-flux.

Однопоточные сети Fast-Flux

На рисунке внизу продемонстрирована однопоточная сеть. Мы сравнили обычное взаимодействие браузера с типичным веб-сайтом и взаимодействие в однопоточной сети fast-flux, в которой соединение с браузером конечного пользователя перенаправляется через машины-редиректоры (так называемые flux-боты или flux-агенты). Когда жертва думает, что она просматривает http://flux.example.com, ее браузер на самом деле соединяется с редиректором сервисной сети fast-flux, который перенаправляет запросы на целевой веб-сайт. Однопоточные сети меняют DNS-записи для IP-адресов, находящихся на входе в систему узлов, каждые 3-10 минут, поэтому даже если один из flux-агентов выведен из строя, его место быстро занимают другие хосты. Мы выяснили, что такие однопоточные сети сформированы из предварительно скомпрометированных домашних компьютеров.

Сети fast-flux в ответе за многие нелегальные деяния, в число которых входит организация специальных сайтов для найма дропов для снятия денег по клонированным кредитным картам, открытие сетевых фармацевтических магазинов, развертывание фишинговых веб-сайтов, организация просмотра нелегальной порнографии, поднятие вредоносных сайтов, содержащих эксплоиты для браузеров и распространение загружаемого вредоносного ПО. Кроме обычных сервисов DNS и HTTP, сетями fast-flux могут также обслуживаться сервисы на основе SMTP, POP и IMAP. А поскольку технология fast-flux использует TCP- и UDP-переадресацию вслепую, у любого направленного сервисного протокола с одним целевым портом могут возникнуть проблемы во время обслуживания в сети fast-flux.

Двухпоточные сети Fast-Flux

Двухпоточные сети представляют собой еще более сложную технологию, обеспечивающую дополнительный уровень резервирования. Так, и А-записи DNS и ответственные записи постоянно меняются и транслируются в сервисную сеть fast-flux. Как явствует из проведенных наблюдений, и DNS и HTTP сервисы в действующих двухпоточных сетях обслуживаются одним и тем же базовым узлом, находящимся в восходящем потоке. Изображение внизу демонстрирует разницу между однопоточной и двухпоточной сетями. Обрати внимание, что на картинке внизу кэширование запросов в расчет не принимается и что исходящий запрос обычно выпускается клиентским предпочитаемым сервером имен, а не самим клиентом.

С левой стороны изображена схема работы однопоточной сети: клиент хочет преобразовать адрес http://flux.example.com/ flux.example.com. Сначала он запрашивает корневой сервер имен DNS какой сервер ответственен за домен верхнего уровня domain.com и получает ответ (на картинке он пропущен). Далее клиент запрашивает сервер, соответственный за .com насчет домена example.com и в качестве ответа получает указание на сервер имен ns.example.com. Теперь клиент может запросить полномочный DNS-сервер ns.example.com на предмет действительного IP-адреса для flux.example.com. Полномочный сервер имен высылает IP-адрес, с которым клиент может попытаться установить прямое соединение. В обычном случае ответный IP-адрес остается неизменным в течение определенного периода времени, тогда как в случае с однопоточными узлами fast-flux ответ очень часто меняется.

Справа изображена схема DNS-запроса адреса внутри двухпоточного домена. Опять-таки, клиент запрашивает адрес flux.example.com. Для краткости первый шаг (запрос корневого сервера имен) мы пропустим. Далее клиент запрашивает ответственный за домен верхнего уровня (.com) сервер имен насчет полномочного сервера для домена example.com. После этого клиент запрашивает полномочный DNS-сервер ns.example.com по поводу адреса для flux.example.com. Однако данный полномочный сервер сам является частью двухпоточной сети fast-flux и его собственный IP-адрес также постоянно меняется. И когда от клиента приходит DNS-запрос для flux.example.com, текущий полномочный сервер имен перенаправляет запрос на базовый управляющий узел, который и предоставляет затребованную информацию. После этого клиент может попытаться установить прямое соединение с целевой системой (хотя ее роль будут играть динамически изменяющиеся узлы flux-агентов на входе в систему).

Преимущества для нападающего

"Традиционная" кибератака, такая как фишинг, обычно требует заражения по крайней мере одного компьютера жертвы и организации поддельного или мошеннического веб-сайта. Контент можно рассылать как при помощи спама, так и с помощью более целенаправленной рекламы, зачастую это делается с использованием ботнетов. Компьютерные системы, содержащие вредоносный контент, могут быть опознаны и через публичное DNS-имя и напрямую по IP-адресу, содержащемуся в каждом разосланном электронном сообщении. Такое мошенничество сравнительно быстро выявляется специалистами в области компьютерной безопасности и легко пресекается. И поскольку средняя продолжительность жизни фишинговых ресурсов начала сокращаться, преступники стали предпринимать действия по внедрению дополнительных мер защиты, таких как обфускация серверных адресов или использование цепочек прокси-серверов, перенаправляющих запросы. Однако масштабирование подобных архитектур все равно остается достаточно ограниченным и при наличии международной кооперации отслеживать данные сети возможно достаточно эффективно. И вот теперь мы становимся свидетелями следующего шага на пути эволюционного развития технических средств, которыми пользуются злоумышленники. Все упирается в возврат инвестиций, и сервисные сети fast-flux предоставляют преступником отличную возможность вернуть свои затраты с максимальной выгодой и эффективностью при сравнительно небольших усилиях. Сети fast-flux дают три основных преимущества тем, кто стоит за развитием криминала в сети Интернет.

Первое преимущество подходит как легальному бизнесу, так и лидерам криминального мира и заключается в простоте. Для управления контентом и информацией DNS будет достаточно одного сравнительно мощного сервера. Публичные URL (например, фишинговые приманки), указывают на прокси-редиректоры на входе в систему, которые затем перенаправляют запросы на соединение со стороны клиентов на основной управляющий базовый сервер (или серверы). Это делает управление доставкой контента куда более простым. Вместо того чтобы поднимать (или взламывать) и обслуживать большое количество серверов, на которых располагаются вредоносные сайты, хакерам теперь требуется лишь небольшое число хорошо организованных ключевых систем для развертывания хостинга мошеннических сайтов и вредоносного ПО. Некоторые люди могут также специализироваться на создании и обслуживании надежных сетей fast-flux и предоставлении соответствующих услуг.

Вторым преимуществом наличия круга внешних узлов является возможность организации доступной защиты от посягательств на криминальные ресурсы со стороны экспертов в области безопасности или правоохранительных органов. Когда какой-то эксперт расследует определенный случай, он предпринимает попытку отследить опасный веб-сайт, работающий через fast-flux, однако все, что ему удается установить – это россыпь IP-адресов, указывающих на внешние узлы flux-ботов, которые могут иметь абсолютно разную юрисдикцию, находиться на разных континентах, иметь отличающиеся друг от друга языки и часовые пояса, и тем самым весьма серьезно затруднить дальнейшее изучение. Из-за наличия прокси-переадресации зачастую не удается найти никаких конкретных улик того, что на системах внешнего контура имеется вредоносный контент, а отключенное протоколирование трафика еще больше ограничивает попытки проведения аудита.

Ну и наконец, в-третьих, сервисные сети fast-flux продлевают жизненный цикл базовых управляющих серверов, прикрытых от посторонних глаз оболочкой из узлов внешнего уровня. Выявление и отключение таких серверов занимает намного большее время, поскольку этот процесс затрудняют множественные перенаправления между узлами, которые очень часто находятся в тех странах, которые весьма лояльно относятся к киберпреступникам и предоставляют им "пуленепробиваемые" хостинги.

Реальные примеры сетей Fast-Flux

Объяснив основополагающие принципы, на которых основаны сети fast-flux, мы приступим к их изучению с точки зрения криминала, рассматривая те основные шаги, которые необходимо сделать для организации сети fast-flux. Вначале для своих атак наши преступники регистрируют домен. Например, это может быть подставной домен, имитирующий банковский сайт, или сайт, рекламирующий лекарства. Для наших целей мы будем использовать название example.com, хотя, согласно проведенным исследованиям, наиболее часто встречающимися окончаниями доменных имен верхнего уровня для сетей fast-flux являются.info и .hk. Может быть, причиной тому послужил более слабый контроль со стороны регистраторов имен в этих доменных зонах. Зачастую эти фальшивые домены регистрируются мошенническими методами, например, при помощи ворованных кредитных карт или с использованием недостоверной регистрационной информации. На момент регистрации преступники зачастую уже имеют под своим контролем сети инфицированных машин, и поэтому могут использовать их в качестве редиректоров. Возможна также и аренда ботнета. Плюс к этому, обычно выбираются те регистраторы, чьи услуги стоят меньше всего. Затем хакеры прописывают такие записи серверов имен, которые указывают и на "пуленепробиваемые" хостинги, и на любой из имеющихся в их распоряжении узлов flux-агентов. В качестве примеров "пуленепробиваемых" хостингов можно привести DNS-сервисы в России, Китае и многих других странах. Если же доступа к таким службам нет, хостинг организуется в принадлежащих преступникам сетях зараженных машин, иногда заниматься обслуживанием DNS-сервисов может даже базовый управляющий сервер сервисной сети fast-flux. Во второй части нашей статьи мы рассмотрим два реальных примера сетей fast-flux.

Однопоточный Fast-Flux: дропы

Сначала рассмотрим записи DNS для однопоточной сервисной сети fast-flux. Перед тобой реальный пример, демонстрирующий мошеннические операции по найму дропов для снятия денег. Дроп – это человек, играющий роль промежуточного звена в процессе перевода или снятия денежных средств, добытых преступной деятельностью. К примеру, злоумышленник крадет деньги с какого-то банковского счета, пересылает их на счет дропа, после чего тот снимает их и пересылает в заранее условленное место, которое может находиться даже в другой стране. И что самое удивительное, такие дропы могут на полном серьезе думать, что работают на вполне законные организации, не понимая, что на самом деле они вовлечены в процесс отмывания киберпреступных денег. Зачастую они – лишь одно из звеньев длинной цепочки жертв.

Внизу ты видишь DNS-записи, типичные для инфраструктуры однопоточной сети. Приведенные ниже таблицы демонстрируют слепки записей DNS для доменного имени divewithsharks.hk, которые фиксируют изменение их состояния примерно каждые 30 минут. Как видишь, 5 А-записей циклично меняются, показывая очевидное проникновение в сети домашнего или корпоративного коммутируемого и широкополосного доступа. Обрати внимание, что NS-записи остаются неизменными, в то время как некоторые А-записи изменяются. Сайт divewithsharks.hk служит для найма дропов.

 ;; WHEN: Sat Feb 3 20:08:08 2007
divewithsharks.hk. 1800 IN A 70.68.187.xxx [xxx.vf.shawcable.net]
divewithsharks.hk. 1800 IN A 76.209.81.xxx [SBIS-AS - AT&T Internet Services]
divewithsharks.hk. 1800 IN A 85.207.74.xxx [adsl-ustixxx-74-207-85.bluetone.cz]
divewithsharks.hk. 1800 IN A 90.144.43.xxx [d90-144-43-xxx.cust.tele2.fr]
divewithsharks.hk. 1800 IN A 142.165.41.xxx [142-165-41-xxx.msjw.hsdb.sasknet.sk.ca]

divewithsharks.hk. 1800 IN NS ns1.world-wr.com.
divewithsharks.hk. 1800 IN NS ns2.world-wr.com.

ns1.world-wr.com.  87169 IN A 66.232.119.212 [HVC-AS - HIVELOCITY VENTURES CORP]
ns2.world-wr.com.  87177 IN A 209.88.199.xxx [vpdn-dsl209-88-199-xxx.alami.net]

Похоже, в однопоточных сетях процессом принятия решений о том, какие именно из доступных IP-адресов будут участвовать в следующем пуле ответов на запросы, управляет какая-то определенная логика. Возможно, контроль процедуры основан на мониторинге качества текущего соединения или алгоритме сбалансированного распределения нагрузки. Новые адреса flux-агентов добавляются в схему вместо тех узлов, которые демонстрируют недостаточную производительность, что позволяет выводить из процесса неактивные адреса. Теперь давай взглянем на DNS-записи того же доменного имени по прошествии тридцати минут и посмотрим, что же там изменилось:

 ;; WHEN: Sat Feb 3 20:40:04 2007 (примерно 30 минут/1800 секунд спустя)
divewithsharks.hk. 1800 IN A 24.85.102.xxx [xxx.vs.shawcable.net] НОВЫЙ
divewithsharks.hk. 1800 IN A 69.47.177.xxx [d47-69-xxx-177.try.wideopenwest.com] НОВЫЙ
divewithsharks.hk. 1800 IN A 70.68.187.xxx [xxx.vf.shawcable.net]
divewithsharks.hk. 1800 IN A 90.144.43.xxx [d90-144-43-xxx.cust.tele2.fr]
divewithsharks.hk. 1800 IN A 142.165.41.xxx [142-165-41-xxx.msjw.hsdb.sasknet.sk.ca]

divewithsharks.hk. 1800 IN NS ns1.world-wr.com.
divewithsharks.hk. 1800 IN NS ns2.world-wr.com.

ns1.world-wr.com.  85248 IN A 66.232.119.xxx [HVC-AS - HIVELOCITY VENTURES CORP]
ns2.world-wr.com.  82991 IN A 209.88.199.xxx [vpdn-dsl209-88-199-xxx.alami.net]

Как видишь, два транслируемых IP-адреса изменились. Еще раз подчеркнем, что они принадлежат сетям коммутируемого или широкополосного доступа. А просмотр DNS-записей еще 30 минут спустя позволяет нам лицезреть следующую картину:

 ;; WHEN: Sat Feb 3 21:10:07 2007 (приблизительно 30минут/1800 секунд спустя)
divewithsharks.hk. 1238 IN A 68.150.25.xxx [xxx.ed.shawcable.net] НОВЫЙ
divewithsharks.hk. 1238 IN A 76.209.81.xxx [SBIS-AS - AT&T Internet Services] Вернулся старый адрес!
divewithsharks.hk. 1238 IN A 172.189.83.xxx [xxx.ipt.aol.com] НОВЫЙ
divewithsharks.hk. 1238 IN A 200.115.195.xxx [pcxxx.telecentro.com.ar] НОВЫЙ
divewithsharks.hk. 1238 IN A 213.85.179.xxx [CNT Autonomous System] НОВЫЙ

divewithsharks.hk. 1238 IN NS ns1.world-wr.com.
divewithsharks.hk. 1238 IN NS ns2.world-wr.com.

ns1.world-wr.com. 83446 IN A 66.232.119.xxx [HVC-AS - HIVELOCITY VENTURES CORP]
ns2.world-wr.com.  81189 IN A 209.88.199.xxx [vpdn-dsl209-88-199-xxx.alami.net]

На этот раз мы обнаружили появление четырех новых IP-адресов и возвращение одного IP-адреса из самого первого запроса. Это показывает цикличность механизма замены IP-адресов в сервисных сетях fast-flux. Как видно из проиллюстрированного примера, А-записи для домена постоянно меняются. Каждая из показанных систем представляет собой скомпрометированный хост, выступающий в качестве редиректора, указывающего на сайт по набору дропов. Важным моментом здесь является то обстоятельство, что аналитики не в состоянии узнать действительный адрес сайта до тех пор, пока не получат доступ к одному из узлов-редиректоров, что создает динамически изменяющуюся и потому крепкую защитную оболочку для киберпреступников. Далее мы рассмотрим двухпоточные сети fast-flux в архитектуре которых злоумышленники внедряют дополнительный уровень защиты для укрепления собственной безопасности.

Двухпоточный Fast-Flux: My Space

Двухпоточная сеть fast-flux – эта такая система, в которой для обеспечения дополнительной динамики постоянно меняется и NS-запись (запись полномочного сервера имен для доменного имени) и А-запись (адресная запись обслуживающего или целевого хоста). Чтобы схема организации двухпоточной сети сработала, регистратор доменного имени должен позволять администратору домена вносить частые изменения в эти записи, что не является распространенной практикой в типичной процедуре управления доменом.

В приведенном ниже примере мы рассмотрим фишинговую атаку, направленную на сайт популярной социальной сети MySpace. Хакер создал поддельный веб-сайт и дал ему имя login.mylspacee.com. Визуально фальшивка напоминает настоящий адрес сайта MySpace, однако служит она исключительно для сбора данных авторизации тех людей, которых удалось заманить на этот подложный ресурс. Для того чтобы затруднить процедуру нейтрализации вредоносного сайта, его NS- и А-записи постоянно меняются. Исходя из опыта наблюдения за подобными ситуациями, можно сказать, что для двухпоточных сетей типична цикличная смена от пяти до десяти А-записей, усугубляемая изменением до пяти имеющихся в наличии NS-записей для каждого из доменов. Такое поведение – характерный признак домена, функционирующего в двухпоточной сервисной сети fast-flux. Взгляни, как меняются все эти DNS-записи:

 ;; WHEN: Wed Apr 4 18:47:50 2007
login.mylspacee.com. 177 IN A 66.229.133.xxx [c-66-229-133-xxx.hsd1.fl.comcast.net]
login.mylspacee.com. 177 IN A 67.10.117.xxx [cpe-67-10-117-xxx.gt.res.rr.com]
login.mylspacee.com. 177 IN A 70.244.2.xxx [adsl-70-244-2-xxx.dsl.hrlntx.swbell.net]
login.mylspacee.com. 177 IN A 74.67.113.xxx [cpe-74-67-113-xxx.stny.res.rr.com]
login.mylspacee.com. 177 IN A 74.137.49.xxx [74-137-49-xxx.dhcp.insightbb.com]

mylspacee.com. 108877 IN NS ns3.myheroisyourslove.hk.
mylspacee.com. 108877 IN NS ns4.myheroisyourslove.hk.
mylspacee.com. 108877 IN NS ns5.myheroisyourslove.hk.
mylspacee.com. 108877 IN NS ns1.myheroisyourslove.hk.
mylspacee.com. 108877 IN NS ns2.myheroisyourslove.hk.

ns1.myheroisyourslove.hk.854 IN A 70.227.218.xxx [ppp-70-227-218-xxx.dsl.sfldmi.ameritech.net]
ns2.myheroisyourslove.hk.854 IN A 70.136.16.xxx [adsl-70-136-16-xxx.dsl.bumttx.sbcglobal.net]
ns3.myheroisyourslove.hk. 854 IN A 68.59.76.xxx [c-68-59-76-xxx.hsd1.al.comcast.net]
ns4.myheroisyourslove.hk. 854 IN A 70.126.19.xxx [xxx-19.126-70.tampabay.res.rr.com]
ns5.myheroisyourslove.hk. 854 IN A 70.121.157.xxx [xxx.157.121.70.cfl.res.rr.com]

Через четыре минуты поменялись лишь А-записи, NS-записи остались прежними.

  ;; WHEN: Wed Apr 4 18:51:56 2007 (около 4 минут/186 секунд спустя)
login.mylspacee.com. 161 IN A 74.131.218.xxx [74-131-218-xxx.dhcp.insightbb.com] НОВАЯ
login.mylspacee.com. 161 IN A 24.174.195.xxx [cpe-24-174-195-xxx.elp.res.rr.com] НОВАЯ
login.mylspacee.com. 161 IN A 65.65.182.xxx [adsl-65-65-182-xxx.dsl.hstntx.swbell.net] НОВАЯ
login.mylspacee.com. 161 IN A 69.215.174.xxx [ppp-69-215-174-xxx.dsl.ipltin.ameritech.net] НОВАЯ
login.mylspacee.com. 161 IN A 71.135.180.xxx [adsl-71-135-180-xxx.dsl.pltn13.pacbell.net] НОВАЯ

mylspacee.com. 108642 IN NS ns3.myheroisyourslove.hk.
mylspacee.com. 108642 IN NS ns4.myheroisyourslove.hk.
mylspacee.com. 108642 IN NS ns5.myheroisyourslove.hk.
mylspacee.com. 108642 IN NS ns1.myheroisyourslove.hk.
mylspacee.com. 108642 IN NS ns2.myheroisyourslove.hk.

ns1.myheroisyourslove.hk. 608 IN A 70.227.218.xxx [ppp-70-227-218-xxx.dsl.sfldmi.ameritech.net]
ns2.myheroisyourslove.hk. 608 IN A 70.136.16.xxx [adsl-70-136-16-xxx.dsl.bumttx.sbcglobal.net]
ns3.myheroisyourslove.hk. 608 IN A 68.59.76.xxx [c-68-59-76-xxx.hsd1.al.comcast.net]
ns4.myheroisyourslove.hk. 608 IN A 70.126.19.xxx [xxx-19.126-70.tampabay.res.rr.com]
ns5.myheroisyourslove.hk. 608 IN A 70.121.157.xxx [xxx.157.121.70.cfl.res.rr.com]

Через полчаса появляется и пять новый NS-записей. Как и в первом случае, A-записи и NS-записи принадлежат хостам в сетях операторов коммутируемого и широкополосного доступа, а это свидетельствует о том, что они были предварительно взломаны хакерами и используются ими для неблаговидных целей:

 ;; WHEN: Wed Apr 4 21:13:14 2007 (~90 minutes/4878 seconds later)
ns1.myheroisyourslove.hk. 3596 IN A 75.67.15.xxx [c-75-67-15-xxx.hsd1.ma.comcast.net] НОВАЯ
ns2.myheroisyourslove.hk. 3596 IN A 75.22.239.xxx [adsl-75-22-239-xxx.dsl.chcgil.sbcglobal.net] НОВАЯ
ns3.myheroisyourslove.hk. 3596 IN A 75.33.248.xxx [adsl-75-33-248-xxx.dsl.chcgil.sbcglobal.net] НОВАЯ
ns4.myheroisyourslove.hk. 180 IN A 69.238.210.xxx [ppp-69-238-210-xxx.dsl.irvnca.pacbell.net] НОВАЯ
ns5.myheroisyourslove.hk. 3596 IN A 70.64.222.xxx [xxx.mj.shawcable.net] НОВАЯ

Вредоносные приложения для работы с Fast-Flux

Функциональность flux-агентов совпадает с чертами, присущими традиционным и незамысловатым IRC-ботам по следующим параметрам: они регулярно "звонят" домой для отчета о собственной готовности, проверяют наличие обновлений, управляют процедурой загрузки и помогают осуществлять удаленный ввод произвольных команд, адресованных локальной операционной системе. Однако практически вся активность центров управления fast-flux основана на протоколе HTTP.

Способность flux-агентов к промежуточному управлению и перенаправлению TCP унаследована, по всей видимости, от тех IRC-ботов, которые имели возможности по перенаправлению UDP. Внедрение этих функций делает сети fast-flux мощным орудием в руках криминалитета и помогает их организаторам быть менее заметными. Находящиеся на входе в систему узлы могут как действовать по команде, так и выполнять жестко заданные инструкции по перенаправлению входящего на указанные порты трафика на расположенные в восходящем потоке данных базовые серверы. Были отмечены также некоторые операции по управлению распределенной сетью узлов, участвующих преимущественно в проверке качества связи и доступности конкретных flux-агентов сервисной сети. Ниже мы опишем два наиболее часто встречающиеся типа приложений, имеющих возможности по работе с fast-flux.

Warezov/ Stration:

Сети, организованные при помощи разновидностей этого вредоносного ПО, призваны основать твердую платформу для рассылки больших объемов нежелательной электронной корреспонденции. Поставленных перед ними задач они достигают весьма успешно, используя при этом такие продвинутые технологии, как постоянное автоматическое создание разновидностей самих себя, что весьма осложняет создание антивирусных сигнатур. Инфицированные машины загружают подобные обновления согласно регулярному графику, увеличивая тем самым количество времени, которое требуется для очистки зараженной системы. Обновления хранятся на веб-сайтах, поэтому публичные адреса таких ресурсов остаются неизменными, что делает их обезвреживание сравнительно простым. До недавних пор для защиты сайтов обновления вредоносных программ использовалась методика генерации псевдослучайных доменных имен, однако с мая 2007 года воротилы спам-бизнеса перешли на модель с использованием fast-flux. Теперь DNS-сервисы и сайты загрузки базируются в сервисных сетях, а их создатели наслаждаются всеми благами своего продолжительного успеха.

Storm:

Основным соперником банды Warezov/Stration является криминальная организация, управляющая огромной сетью рассылки спама, организованной с помощью семейства вредоносных программ, известных как Storm/Peacomm/Peed. Управление ботнетом осуществляется с использованием P2P-обмена, основанного на протоколе UDP. Если решить задачи по минимизации задержек и управлению списками узлов, то такой подход будет являться весьма эффективным средством для работы с большой распределенной сетью. К достоинствам данного типа ПО относится и наличие встроенных средств для борьбы с фильтрацией почты, таких, например, как генерация основанного на изображениях спама в режиме реального времени непосредственно на конечных узлах flux-агентов. Содержащие спам изображения изменяются таким образом, чтобы ввести в заблуждение инструменты оптического распознавания, имеющиеся в некоторых антиспам-продуктах. Возвращаясь непосредственно к предмету разговора, отметим, что организаторы этой сети предприняли первые попытки перехода на технологию fast-flux в июне 2007 года. Этот шаг дал вредоносным приложениям значительное преимущество, поэтому схема их работы требует дальнейшего изучения.

Изучение проблемы Fast-Flux

Мы обсудили несколько реальных примеров работы сетей fast-flux. Теперь давай взглянем на ситуацию более пристально. Для целей нашего исследования мы умышлено заразили наш honeypot агентом fast-flux. Honeypot-система работала в контролируемом окружении Honeywall, а использованное вредоносное ПО называлось weby.exe и имело MD5-хэш 70978572bc5c4fecb9d759611b27a762 . Бинарный код выполнялся в виртуализованной среде, взаимодействие с внешним миром осуществлялось через шлюз Honeywall, обладающий функциями контроля и протоколирования данных. Анализ произошедших после заражения событий выявил следующую активность:

1. Во-первых, система обращается к доменному имени www.google.com. Скорее всего, делается это для проверки наличия интернет-соединения, поскольку вредоносному приложению необходимо убедиться в возможности выхода в Интернет и наличии способности преобразовывать DNS-имена.

2. Агент регистрируется у хозяина. Происходит это через соединение с виртуальным хостом при помощи запроса HTTP GET и URL-строки с данными о зараженной машине. Этот канал не используется для управления, он предназначен лишь для того, чтобы уведомить администратора об успешном заражении очередной жертвы. Форма запроса выглядит следующим образом:

http://xxx.ifeelyou.info/settings/weby/remote.php?os= &user= &status= &version= &build= &uptime=

3. В ответ на уведомление базовый сервер сети fast-flux сообщает "Успешно добавлен!", что, как мы полагаем, должно означать успешное добавление нового бота в инфраструктуру fast-flux. Очередная жертва заступает на вредоносную вахту.

4. Следующим шагом зараженной системы является получение файла конфигурации. Файл настроек агент получает, ежечасно опрашивая удаленный веб-сервер. В этот момент flux-агент получает детализированные инструкции, включающие назначение порта, информацию о расположении базового сервера и сведения о трафике, который необходимо на него перенаправлять. В нашем случае flux-агент выполняет запрос HTTP GET на другой виртуальный веб-хост, который имеет такой же IP-адрес, что и хост регистрации flux-агента:

http://xxx.iconnectyou.biz/settings/weby/settings.ini

Сервер отвечает на него закодированным файлом конфигурации, который имеет постоянный размер в 197 байт. В данный момент мы продолжаем попытки декомпилировать эту сессию.

5. Ну и наконец, система загружает dll-файл с подозрительным названием plugin_ddos.dll, который, по всей видимости, является компонентом для проведения DDoS-атак.

Статистика

Для того, чтобы ты лучше осознал возможности сервисных сетей fast-flux и число систем, которые в них обычно используются, мы предоставим тебе статистику, связанную с работой одной такой сети, вовлеченной в реализацию мошеннической схемы с сетевым фармацевтическим магазином PharmaShop. Вот ключевые моменты.

Сбор данных происходил в период с третьего по одиннадцатое февраля 2007 года. Сам домен greatfriedrice.info был создан 2-го января 2007 года в 15:11, а прекратил работу 13-го февраля 2007 года в 04:26 по восточному поясному времени. Запрос DNS происходил каждые две минуты, после чего собиралась информация о присвоенных домену IP-адресах и о том, как эти IP-адреса (A-записи и NS-записи) менялись с течением времени. Всего в ходе исследования был выявлен 3241 уникальный IP-адрес. Из них 1516 адресов были представлены как адреса узлов, отвечающих за доменную зону. 2844 IP-адреса с короткими TTL принадлежали используемым в ходе цикличных замен HTTP-редиректорам. Кроме этого, в базе было представлено 256 автономных систем (AS). 181 автономная система обслуживала fluxDNS, в то же время 241 такая система использовалась для fluxHTTP-переадресации. Возможно, это связано с политикой провайдеров по блокировке входящего трафика по портам UDP 53 или TCP 80. Приведенная ниже таблица иллюстрирует те автономные системы, в которых находилось большинство зараженных машин, являвшихся частью сервисной сети fast-flux. Данный пример был выбран из-за высокой частоты мониторинга (каждые две минуты). К моменту завершения исследования было зарегистрировано свыше 80 000 flux-IP и более чем 1,2 миллиона уникальных соответствий.

Распределение AS в DNS-сети Fast-Flux

Всего# AS#
331 7132 (SBC/ATT)
300 1668 (AOL)
47 11427 (RR)
40 33287
35 11426
28 3356
27 33491
27 20115
25 7015
25 13343

Всего# AS#
668 7132 (SBC/ATT)
662 1668 (AOL)
75 3356
73 11427
51 33287
46 33491
40 20115
39 11426
37 7015
36 11351

 

 


Обнаружение и минимизация ущерба

Цель написания данной статьи заключается не только в том, чтобы разъяснить, какую угрозу представляют сервисные сети fast-flux, но также и в том, чтобы выработать советы по их обнаружению и минимизации причиняемого такими сетями ущерба. Мы выдвинем несколько предложений, которые могут указать на определенные потенциальные действия и сформулируем краткое описание возможных мер по снижению негативного эффекта, вызванного работой сетей fast-flux. Однако представленное описание претендовать на полноту вряд ли сможет, поскольку столь сложная тема достойна отдельного исследования.

Выявить и отключить сеть fast-flux может быть очень и очень сложно. Обнаружение доменных имен, обслуживаемых такими сетями, требует многократного анализа результатов DNS-запросов, при этом точность обнаружения возрастет, если внедрить такой механизм подсчета, который был бы в состоянии оценивать сравнительно недолго живущие DNS-записи и принимать во внимание число A-записей, возвращаемых в ответ на каждый запрос, число возвращаемых NS-записей, диверсифицированность представленных невзаимосвязанных сетей, а также наличие коммутируемого и широкополосного доступа. Вдобавок к этому короткие TTL должны анализироваться в связке с подсчетом результатов для каждого домена или имени хоста, основанных на множественной проверке периодов истечения срока TTL.

Определить базовый сервер можно, если определенным образом прозондировать прокси-сети из flux-агентов. Приняв за основу предположение, что flux-агент перенаправляет трафик по TCP-порту 80 или по UDP-порту 53 на пока неизвестный хост, можно запрограммировать систему обнаружения вторжений таким образом, чтобы она поднимала тревогу в случае прохождения нетипичного, редко встречающегося запроса, и идентифицировала тем самым работу базового сервера сети fast-flux. Основная идея заключается в том, чтобы разослать зондирующие пакеты и затем наблюдать за их прохождением от flux-агента до реального базового сервера. Отдельных значительных усилий потребует и определение любых других инфраструктурных компонентов сети fast-flux, таких например, как механизм мониторинга доступности и качества связи, а также системы дозвона домой и схемы регистрации новых ботов.

Следующий пример демонстрирует процесс обнаружения базового хоста, в ходе которого задействована система обнаружения вторжений. Как часть HTTP- или DNS-запроса через flux-агент посылается приветствие в виде закодированной в Base64 текстовой строки. Делается это для того, чтобы проследить весь сетевой путь и использовать при этом легко идентифицируемые строки. Отследить путь можно в два этапа, через любой flux-агент, данные о котором были получены в ходе DNS-мониторинга flux-доменов. Данные сигнатуры Snort указывают на процесс взаимодействия HTTP и DNS, в ходе которого пересылается строка Base64, содержащая текст "helloflux" (aGVsbG9mbHV4IAo). Эти сигнатуры закладываются в датчики системы обнаружения вторжений, после чего в сеть fast-flux высылается сообщение. И если один из датчиков его обнаружит, можно выявить подлинный адрес, на который оно было послано flux-агентом.

alert tcp $HOME_NET 1024:5000 -> !$HOME_NET 80 (msg: "FluxHTTP_Upstream_DST"; flow: established,to_server; content:"aGVsbG9mbHV4IAo"; offset: 0; depth: 15; priority: 1; classtype:trojan-activity; sid: 5005111; rev: 1;)

alert udp $HOME_NET 1024:65535 -> !$HOME_NET 53 (msg: "FluxDNS_Upstream_DST"; content: "|00 02 01 00 00 01|"; offset: 0; depth: 6; content:"aGVsbG9mbHV4IAo"; within: 20; priority: 1; classtype:trojan-activity; sid: 5005112; rev: 1;)

Нижеследующие простые скрипты вставляют закодированную в Base64 строку "helloflux" (aGVsbG9mbHV4IAo) в HTTP- и DNS-запрос request. С помощью приведенных выше сигнатур Snort есть возможность отследить путь этих запросов в сети.

$ echo fluxtest.sh ;
#!/bin/bash
# Simple shell script to test
# suspected flux nodes on your managed networks
echo " aGVsbG9mbHV4IAo" | nc -w 1 ${1} 80
dig +time=1 aGVsbG9mbHV4IAo.dns.com @${1}

Если возможности мониторинга вторжений в пользовательской зоне у провайдера нет, но есть возможность сбора информации по протоколу NetFlow, данный механизм также может быть использован для обнаружения сети fast-flux. Он не так хорош, как описанный выше метод с использованием мониторинга, однако анализ трафика по TCP 80 и по UDP 53 в пользовательской зоне – уже неплохое начало. Такая разновидность трафика в обычной ситуации не встречается, а потому указывает на возможное наличие flux-агента. Представленный ниже перечень рекомендаций предлагает еще ряд идей по поводу того, как остановить эту угрозу. В скобках мы указали, кем должны внедряться указанные мероприятия:

  1. Внедрить политики блокировки TCP 80 и UDP 53 в пользовательской зоне сети (провайдер).
  2. Заблокировать доступ к контролирующей инфраструктуре [базовым серверам, системе регистрации, инструментам контроля доступности] (провайдер).
  3. Улучшить процесс регистрации и аудита доменных имен на предмет возможного мошеннического использования (регистратор).
  4. Увеличить компетентность сервисных служб, воспитать понимание угроз и стремление к осведомленности (провайдер).
  5. Проводить инъекции в шлюзовые протоколы и DNS, чтобы уничтожать базовые серверы и управляющую инфраструктуру (провайдер).
  6. Пассивный мониторинг DNS для выявления A-записей или NS-записей, транслируемых в публичное пользовательское IP-пространство (провайдеры, регистраторы, эксперты и т.д.).

Выводы

Сервисные сети fast-flux демонстрируют нам еще один шаг на пути эволюционного развития деятельности киберпреступников. Они предлагают устойчивую, скрытую инфраструктуру доставки контента, пресечь деятельность которой правоохранительным органам и системным администраторам весьма непросто. Масштабируемость, надежность, наличие средств обфускации и увеличивающаяся доступность сервисов на базе fast-flux обеспечивают киберпреступникам возросший уровень эффективности операций и скорейший возврат вложенных инвестиций. Интернет для онлайн-мошенников – лишь рынок для реализации бизнес моделей, поэтому, к нашему общему сожалению, эволюция технологий, подобных fast-flux, будет лишь продолжаться. Зачастую мошенникам удается идти на шаг впереди профессионалов в области компьютерной безопасности и эта гонка вооружений в обозримом будущем не утихнет.

Опубликовано в http://www.xakep.ru/
Источник: http://www.honeynet.org/papers/ff/

Дополнительная информация по Fast-flux:

Fast flux
ICANN не знает, как бороться с Fast Flux

 

Оставить комментарий

Имя
E-mail
Сообщение
Введите код
с картинки
 


ssl сертификаты