Сервісні мережі Fast-Flux №1
Зміст статті
Вступ
Однією з найреальніших загроз, з якою нам доводиться стикатися в мережі Інтернет, є кіберзлочинність. Причому злочинці постійно удосконалюють знаряддя отримання ними незаконної вигоди. Дана робота покликана розповісти про все більш популярну методику під назвою fast-flux (у дослівному перекладі - "швидке протягом, потік"), число випадків використання якої в відкритому середовищі постійно збільшується. Сервісні мережі fast-flux представляють собою мережі скомпрометованих комп'ютерів з публічними іменами DNS записів, які постійно змінюються, іноді кілька разів на хвилину. Така постійно змінювана архітектура істотно ускладнює відстеження і припинення злочинної діяльності.
У цьому дослідженні ми спочатку опишемо, що ж таке сервісні мережі fast-flux, як вони працюють, як злочинці використовують їх для досягнення своїх цілей, і вивчимо два типи таких мереж, які ми назвали однопоточними і двопоточними >мережами fast-flux, після чого наведемо кілька свіжих прикладів роботи подібних мереж у реальному світі. Потім ми розповімо як працює шкідливе ПЗ, пов'язане з організацією мереж fast-flux і представимо результати дослідження, в ході якого ми навмисне заразили нашу приманку агентом мережі fast-flux. Ну і нарешті, ми пояснимо, як знаходити та визначати такі мережі, а також мінімізувати збитки від їхньої роботи, переважно у великих мережевих оточеннях.
Як працюють сервісні мережі Fast-Flux
Однопотокові мережі Fast-Flux
Двопотокові мережі Fast-Flux
Двопотокові мережі є ще більш складною технологією, що забезпечує додатковий рівень резервування. Так, і А-записи DNS та відповідальнізаписи постійно змінюються і транслюються в сервісну мережу fast-flux. Як випливає з проведених спостережень, і DNS і HTTP сервіси в діючих двопотокових мережах обслуговуються одним і тим же базовим вузлом, що знаходяться у висхідному потоці. Зображення внизу демонструє різницю між однопотоковою і двопотоковою мережами. Зверніть увагу, що на малюнку внизу кешування запитів до уваги не приймається і що вихідний запит зазвичай випускається клієнтським сервером імен, а не самим клієнтом.
Переваги для нападника
Перша перевага підходить як легальному бізнесу, так і лідерам кримінального світу і полягає у простоті. Для керування контентом та інформацією DNS буде достатньо одного порівняно потужного сервера. Публічні URL (наприклад, фішингові приманки), вказують на проксі-редиректори на вході систему, які потім перенаправляють запити на з'єднання з боку клієнтів на основний керуючий базовий сервер (або сервери). Це робить управління доставкою контенту куди більш простим. Замість того, щоб піднімати (або зламувати) і обслуговувати велику кількість серверів, на яких розташовуються шкідливі сайти, хакерам тепер потрібна лише невелика кількість добре організованих ключових систем для розгортання хостингу шахрайських сайтів та шкідливого ПЗ . Деякі люди можуть також спеціалізуватися на створенні та обслуговуванні надійних мереж fast-flux та наданні відповідних послуг.
Ну і нарешті, по-третє, сервісні мережі fast-flux продовжують життєвий цикл базових керуючих серверів, прикритих від сторонніх очей оболонкою із вузлів зовнішнього рівня. Виявлення та відключення таких серверів займає набагато більше часу, оскільки цейпроцес ускладнюють множинні перенаправлення між вузлами, які дуже часто знаходяться в тих країнах, які дуже лояльно ставляться до кіберзлочинців і надають їм "куленепробивні" хостинги.