FastFlux攻击手法简介.PDF

臺灣電腦網路危機處理暨協調中心 (TWCERT/CC) Fast Flux 攻擊手法簡介 一、 攻擊概述 ： Fast Flux 基本上是 load-balancing的新花樣。他是在 DNS Resource Record(RR)中將 TTL(Time To Live)設定的非常短，並以循序 (Round-robin) 的方式於一群 IP中做替換，而這群 IP則扮演了流量導向 (Proxy)的角色 ， 而通常這群IP便是一堆受到感染的 Bot 機器（通常是家庭電腦）。這些電 腦不斷地輪流改變它們的 DNS 紀錄的目的是 以避免被研究者、ISPs或執法 單位查獲。此技術使得 基於 IP 封鎖清單的方法在預防攻擊上變得英雄無用 武之地。也因為不管合法還是非法的 Fast Flux 持有一些相同的功能，如短 TTL和擁有大量的 IP ，因此很難區分它們。 二、 攻擊平台： 由於該 技術是讓有心人士所提供含有惡意程式碼的頁面或網站不斷地輪流 改變它們的 DNS 紀錄使其 無法被封鎖，因此除非有辦法將該 SERVER的所有 IP 一次封鎖，否則任何平台都有可能因為進入含有惡意程式碼的頁面或網 站而受到攻擊。 三、 攻擊手法介紹 ： Fast Flux從 2006 年出現至今，已成為網址名稱管理單位一個頭痛的問題， 除了會影響網址名稱解析服務的運作之外，更讓殭屍網路變得難以偵測，惡 意人士甚至把殭屍網路變成一種出租服務，只要願意付出一些費用，就可以 利用它來達到非法目的，更讓整個犯罪行為就像船過水無痕一樣難以追查。 錢騾時常在涉及欺詐行為的轉讓或撤回資金作為中間人。例如，罪犯再竊取 他人銀行帳戶裡的錢以後 ，將金錢轉移到錢騾的銀行賬戶。而錢騾在抽取傭 金之後會再協助罪犯將剩餘的款項運送至他們指定的位置，很有可能是在同 的國家。 然而錢騾並不知道他們參與了洗錢計劃，他們可能會認為他們正在 為一個合法的公司執行正當程序 。 也有針對 流行的社交網站，MySpace所進行的釣魚攻擊。攻擊者創建一個假 的 釣魚網站 。而這個假網站看上去就像是真正的 MySpace網站，無一不同，因此便可欺騙使用者登入此假網站，進而竊取該 MySpace用戶的身份驗證憑據。 而為了使其更難被安全專業人員關閉 ，無論 是 NS還是 A DNS記錄都在不斷 地變化。 四、 實際事件 ： 臺灣電腦網路危機處理暨協調中心 (TWCERT/CC) Warezov/Stration: 基於這些惡意代碼變種構建的網路提供 了一個用於發送大量垃圾郵件的健 壯平台。它們在發送垃圾方面表現是很成功的，並且採用先進的技術，比如 不停的自動生成惡意代碼變種以應對基於特徵碼的反病毒技術。被感染的主 機定期下載這些更新的軟件，目的是為了延長系統被清除和隔離的時間。這 些升級後的軟件必須上傳到網站上，如果升級網站的公網IP地址仍然是靜 態的話，則能容易被關閉。最近，一種偽隨機域名自動產生的策略被用來保 護這樣的下載網站。從 2007 年5月開始，在這些發送垃圾郵件行為後面的 犯罪組織轉向Fast Flux服務網絡模型。這些組織現在通過 Fast Flux服務 網絡部署他們的 DNS服務和惡意代碼下載網站，並且在他們的犯罪努力下似 乎總是成功的。 Storm: Warezov/Stration的最大競爭對手，也許是操縱基於家庭用戶的 Storm/Peacomm/Peed惡意代碼變種構建大規模垃圾郵件發送網路的犯罪組 織。他們採用基於 UDP 協定的 P2P模型實現殭屍網絡的命令和控制。這是操 作大規模分佈式網絡的一個非常靈活高效的方式，如果能克服節點列表維護 的複雜性和時間開銷的最小化。他們也採用創新技術來應對反垃圾郵件方案， 比如在代理節點終端自身生成基於圖像的垃圾郵件，而不是簡單的依賴於模 板。這些圖像採取隨機方式生成，以應對在有些反垃圾郵件產品中採用的 OCR （目標特徵識別）技術，並且是在垃圾郵件發送方案中最普遍用於增加 欺騙性的技術。在2007 年6月這個組織被發現時正試圖改進他們的 P2P網 絡用於支持 Fast Flux 方式的