Меню

Fast flux своими руками

Fast flux DNS или новые технологии киберпреступности

Что такое fast flux DNS ?


Fast flux DNS представляет собой метод, который злоумышленник может использовать для предотвращения идентификации IP-адреса своего компьютера. Путем злоупотребления технологией DNS, преступник может создать ботнет с узлами, подключаться через них и менять их быстрее, чем сотрудники правоохранительных органов могут проследить.

Fast flux DNS использует способ балансировки нагрузки встроенную в систему доменных имен. DNS позволяет администратору зарегистрировать n-е число IP-адресов с одним именем хоста. Альтернативные адреса законно используется для распределения интернет-трафика между несколькими серверами. Как правило, IP-адреса, связанные с хостом домена не очень часто меняются, если вообще меняются.

Тем не менее, преступники обнаружили, что они могут скрывать ключевые сервера, используя 1/62 времени жизни (TTL) записи DNS ресурса связанной сIP-адресом и менять их чрезвычайно быстро. Поскольку злоупотребление системой требует сотрудничества регистратора доменных имен, большинство Fast flux DNS ботнеты, как полагают, происходят в развивающихся странах или в других странах без законов для киберпреступности.

По мнению Honeypot Project, Fast flux DNS ботнеты ответственны за многие незаконные действия, в том числе фишинговые веб-сайты, незаконная торговля медицинскими препаратами онлайн, экстремистских или сайтов с незаконным контентом для взрослых, вредоносных сайтов использоющих уязвимости браузеров и веб-ловушки для распространения вредоносных программ.

Примеры в реальной жизни

Объяснив основополагающие принципы, мы сейчас посмотрим на Fast Flux сети с точки зрения криминала и сделаем обзор основных шагов, необходимых для установки Fast Flux услуг. Во-первых, преступники регистрируют домен для атаки. Примером может быть домен с поддельным доменным именем, которое является похожим на имя банка, или сайт содействия в продаже фармацевтических препаратов. В нашем случае, мы будем использовать example.com. Исходя из наших исследований, домены .info и .hk являются одними из наиболее часто используемых доменов верхнего уровня (TLD’s). Это может быть связано с тем, что посредники для этих регистраторов доменов имеют более слабую систему контроля, чем другие TLD. Зачастую эти фальшивые домены регистрируются мошенническими средствами, например с помощью украденных кредитных карт и поддельных документов или иными способами. У преступников часто уже есть сеть взломанных систем, которые могут выступать в качестве редиректоров, или они могут временно арендовать ботнет. Кроме того, часто происходит регистрация самых дешевых доменов. Преступники затем публикуют Name Server (NS) записи, либо указывают на абузо устойчивый хостинг и любой из proxy/redirects flux-agent под их контролем. Примеры абузоустойчивого хостинг-провайдера может включать DNS-сервисы, из России, Китая и многих других странах по всему миру. Если преступники не имеют доступа к этому типу услуг, они создают DNS-услуги на собственных взломанных системах, а часто и Mothership узлах, на которых размещаются сайты. Теперь мы рассмотрим дваслучая фактического развертывания.

Single-Flux: A Money Mule

Сначала мы рассмотрим DNS-записи для single-flux.Это реальный пример демонстрирует набор money mule аферы. Money mule кто-то, кто выступает в качестве посредника при передаче или снятии денег, часто участвуют в мошенничестве. Например, преступник будет воровать деньги с банковского счета, кто-то переводит его на счет в банке money mule, то есть деньги,mule снимает и передать их на места преступника, возможно, в другой стране. Уникальность некоторых современных мошенничеств money mule является то, что money mule может думать, что они работают на законные компании, не понимая, они действуют от имени преступников в схемах отмывания денег. Часто money mule на самом деле просто очередная жертва в цепи других жертв.

Читайте также:  Дерево обрабатывающие станки своими руками

Ниже приведены single-flux DNS записи типичной для такой инфраструктуры. Таблицы DNS снимков divewithsharks.hk меняются примерно каждые 30 минут, пять записей, возвращаемых циклически демонстрирует четкие проникновения в домашние/бизнес сети коммутируемого и широкополосного доступа к сети.Обратите внимание, что NS записи не изменяются, но некоторые из A записей другие. Это веб-сайт money mule:

;; WHEN: Sat Feb 3 20:08:08 2007
divewithsharks.hk. 1800 IN A 70.68.187.xxx [xxx.vf.shawcable.net]
divewithsharks.hk. 1800 IN A 76.209.81.xxx [SBIS-AS — AT&T Internet Services]
divewithsharks.hk. 1800 IN A 85.207.74.xxx [adsl-ustixxx-74-207-85.bluetone.cz]
divewithsharks.hk. 1800 IN A 90.144.43.xxx [d90-144-43-xxx.cust.tele2.fr]
divewithsharks.hk. 1800 IN A 142.165.41.xxx [142-165-41-xxx.msjw.hsdb.sasknet.sk.ca]
divewithsharks.hk. 1800 IN NS ns1.world-wr.com.
divewithsharks.hk. 1800 IN NS ns2.world-wr.com.
ns1.world-wr.com. 87169 IN A 66.232.119.212 [HVC-AS — HIVELOCITY VENTURES CORP]
ns2.world-wr.com. 87177 IN A 209.88.199.xxx [vpdn-dsl209-88-199-xxx.alami.net]

Single-Flux сети стараются применить некоторые формы логики в принятии решения, какой из имеющихся у них IP-адреса будут рекламироваться в следующий набор ответов. Это может быть основано напостоянном мониторинге качества связи и, возможно, алгоритма балансировки нагрузки. Новый flux-agent IP адресов вставляются в быстрый поток сервисной сети для замены узлов с низкой производительностью, подлежащим смягчению или иному сообщению узлов. Теперь давайте взглянем на DNS-записи одного и того же доменного имени через 30 минут и посмотрим, что изменилось:

;; WHEN: Sat Feb 3 20:40:04 2007 (

30 minutes/1800 seconds later)
divewithsharks.hk. 1800 IN A 24.85.102.xxx [xxx.vs.shawcable.net] NEW
divewithsharks.hk. 1800 IN A 69.47.177.xxx [d47-69-xxx-177.try.wideopenwest.com] NEW
divewithsharks.hk. 1800 IN A 70.68.187.xxx [xxx.vf.shawcable.net]
divewithsharks.hk. 1800 IN A 90.144.43.xxx [d90-144-43-xxx.cust.tele2.fr]
divewithsharks.hk. 1800 IN A 142.165.41.xxx [142-165-41-xxx.msjw.hsdb.sasknet.sk.ca]
divewithsharks.hk. 1800 IN NS ns1.world-wr.com.
divewithsharks.hk. 1800 IN NS ns2.world-wr.com.
ns1.world-wr.com. 85248 IN A 66.232.119.xxx [HVC-AS — HIVELOCITY VENTURES CORP]
ns2.world-wr.com. 82991 IN A 209.88.199.xxx [vpdn-dsl209-88-199-xxx.alami.net]

Как мы видим, два из рекламируемых адресовIP изменились. Опять же, эти два IP-адреса принадлежат коммутируемому или широкополосному сегменту сети. Еще 30 минут спустя, поиска области, возвращает следующую информацию:

;; WHEN: Sat Feb 3 21:10:07 2007 (

30 minutes/1800 seconds later)
divewithsharks.hk. 1238 IN A 68.150.25.xxx [xxx.ed.shawcable.net] NEW
divewithsharks.hk. 1238 IN A 76.209.81.xxx [SBIS-AS — AT&T Internet Services] This one came back!
divewithsharks.hk. 1238 IN A 172.189.83.xxx [xxx.ipt.aol.com] NEW
divewithsharks.hk. 1238 IN A 200.115.195.xxx [pcxxx.telecentro.com.ar] NEW
divewithsharks.hk. 1238 IN A 213.85.179.xxx [CNT Autonomous System] NEW
divewithsharks.hk. 1238 IN NS ns1.world-wr.com.
divewithsharks.hk. 1238 IN NS ns2.world-wr.com.
ns1.world-wr.com. 83446 IN A 66.232.119.xxx [HVC-AS — HIVELOCITY VENTURES CORP]
ns2.world-wr.com. 81189 IN A 209.88.199.xxx [vpdn-dsl209-88-199-xxx.alami.net]

Теперь мы наблюдаем четыре новых IP- адреса и один IP-адрес, который мы видели в первом запросе. Это свидетельствует о циклическом механизме адреса ответа, используемый в быстрых fast-flux сетях. Как мы видели в этом примере, записи для домена постоянно меняются. Каждая из этих систем представляет угрозу, хост выступает в качестве редиректора, а редиректор в конечном счете указывает на веб-сайт money mule. Важным моментом здесь является то обстоятельство, что аналитики не в состоянии узнать действительный адрес сайта до тех пор, пока не получат доступ к одному из узлов-редиректоров, что создает динамически изменяющуюся и потому крепкую защитную оболочку для киберпреступников. Далее мы рассмотрим двухпоточные сети fast-flux в архитектуре которых злоумышленники внедряют дополнительный уровень защиты для укрепления собственной безопасности.

— Это только малая часть описания возможностей данной технологии. Если кого-то из вас заинтересует, то дополню.
Либо можно самому попытаться осмыслить проследовав по ссылке.

*money mule — это по-сути существо, известное на не совсем нелегальных форумах, как дроп, дроп разводной и т.п. Т.е. человек, которого используют в своих не законных целях, без его на то ведома.

Читайте также:  Как правильно сделать бытовку своими руками

Источник

Как злоумышленники скрывают вредоносные сайты

С 2006 года исследователи в области безопасности отслеживали развитие новой технологии, используемой киберпреступниками для скрытия вредоносного трафика за сложной сетью прокси. Этот метод получил название fast-flux, и на сегодняшний момент тысячи компьютеров пострадали от фишинга или вредоносных программ благодаря именно этой технологии. Сейчас fast-flux является неотъемлемой частью киберкриминалистической деятельности.

Введение

Когда вы запрашиваете полное доменное имя, например www.anti-malware.ru, вы справедливо ожидаете получить ответ от соответствующих серверов. Сеть fast-flux предоставляет большое количество IP-адресов для подходящего полного доменного имени. С помощью циклического развертывания, используя TTL, IP-адреса быстро меняются и подбираются из списка.

Познакомимся с Round Robin DNS: это метод, используемый для распределения и балансировки нагрузки, который позволяет различным пользователям, подключающимся к одному домену, получать ответ с разных серверов. Предположим, что user1 подключается к Google, он получит ответ от google-server1. Затем подключается user2 и получает ответ от google-server2 и так далее.

Рисунок 1. Схема работы сети fast-flux

Каждый раз, когда хост отвечает на запрос, его IP-адрес находится в нижней части списка, поэтому в верхней части всегда будет менее загруженный хост. Когда мы говорим об атаках fast-flux, хосты представляют собой зараженные компьютеры, поэтому создается зомби-сеть, чтобы обеспечить прокси-сеть для вредоносной службы. Можно отличить одиночный fast-flux от двойного.

Одиночные сети flux

Предположим, зараженный компьютер запрашивает доверенный домен www.anti-malware.ru, но его трафик перенаправляется в зомби-сеть и, наконец, на так называемый Mothership (конечный вредоносный сервер). Эта зомби-сеть в основном состоит из зараженных домашних компьютеров.

Перенаправление реализуется хостом, называемым flux-агент. DNS-записи этого агента обновляются каждые 3-10 минут, поэтому даже если узел закрыт, другие узлы готовы занять свое место за очень короткое время. Через эту сеть доступны не только службы DNS и HTTP, но также и IMAP, SMTP и POP.

Двойные сети flux

Это более сложный тип fast-flux, поскольку как запись DNS A, так и запись NS изменяются с помощью метода Round Robin. DNS A возвращает 32-битный IPv4, обычно используемый для привязки хоста к его IP-адресу, в то время как запись DNS NS устанавливает, что определенный сервер должен иметь дело с определенной зоной DNS. Это значит, что при атаке вида double flux, не только хосты меняют свои IP-адреса как часть единого DNS-имени, но и вся зона DNS, что делает практически невозможным понимание того, где находится источник атаки.

В то время как в традиционных бот-сетях, базирующихся на серверах IRC, было достаточно найти центральный IRC-сервер, чтобы уничтожить всю вредоносную систему, в случае с сетью fast-flux необходимо нейтрализовать тысячи хостов, расположенных во многих разных странах мира.

Известные атаки fast-flux

Storm Worm

Storm Worm — бэкдор, распространяемый в 2007 году, был ориентирован на системы Microsoft, в основном на домашние компьютеры. Распространялась эта вредоносная программа через спам, а несколько месяцев после начала своей деятельности стала составлять 8% всех вредоносных программ в мире.

Storm Worm был скрыт зомби-сетью, которая действовала как сеть peer to peer. Было также трудно понять реальный размер сети, потому что каждый хост, подключенный к 30 другим компьютерам, имел не полный список.

Samy

Samy был XSS-червем, стал известен как самый быстро распространяющийся червь в истории вредоносных программ. Он был создан для распространения через социальную сеть MySpace неким Сэми Камкаром (Samy Kamkar). Samy появился в 2005 году и заразил более миллиона пользователей за 20 часов. Вирус не был особо опасен, каждый зараженный пользователь отправлял заявку в друзья к Сэми Камкару и сообщение, которое гласило «Но прежде всего Сэми мой герой» (But most of all, samy is my hero). Деятельность этого вредоноса показала уязвимость социальной сети MySpace.

Читайте также:  Автономный дизельный отопитель своими руками

Рисунок 2. Сообщение Samy

Выводы

Для эксперта-киберпреступника относительно легко создать сеть fast-flux, гораздо труднее проследить эту инфраструктуру и нейтрализовать всю систему. Исследователям придется иметь дело с тысячами зараженных узлов, непониманием того, насколько велика вредоносная сеть, IP-адресами, меняющиеся случайным образом каждые пять минут, различными законодательствами разных стран, которые не всегда будут сотрудничать.

Тем не менее есть способ, позволяющий обнаружить конечный вредоносный сервер. Заключается он в отправке пробных пакетов и отслеживании их пути.

Для злоумышленников же это отличная технология, применение которой найдется в фишинге, рассылке спама и распространении вредоносных программ.

Источник

fast-flux или как скрыть сервер в сети?

Доброго дня! имеется около 10 ТБ фильмов. Во концове подумал, что стоит сделать ,таки, онлайн кинотеатр. НО «интересного» контента слишком много! Помогите пожалуйста прийти к хорошей модели анонимности сервера в www сетях. кто пользовал fast-flux ? или посоветуйте как можно анонимно разместить контент.

Главная проблема у тебя будет в ширине канала. Видеостриминг, пожалуй, самое прожорливое, что только можно запустить. Никакой Tor и I2P нужную скорость тебе не дадут.

Так что только взять абузоустойчивый хостинг в стране, которая не сильно заморачивается насчёт копирайта и платить биткойнами. И да, хостинг будет весьма дорогой, ибо тебе потребуется куча места на диске и широченный канал.

UPD: Прочитал про fast-flux. Тебе нужен ботнет. А ботнет это плохо. Уходи.

для начала отдавать все фильмы через magnet, никаких торрент-файлов

или посоветуйте как можно анонимно разместить контент

Берёшь I2P или Tor. И создаёшь скрытый ресурс. Размещаешь контент. Если всё правильно настроишь и не будешь никак палиться IRL, то можешь хоть ЦП и коды запуска ядерных ракет размещать — тебя не найдут. Но скорость будет не очень. С другой стороны, если размещать magnet или что-то подобное, то это не страшно.

Либо, если то, что ты хочешь разместить не совсем нелегально (скажем, это просто пиратские фильмы), то тебе хватит абузоустойчивого хостинга в правильной стране.

Ещё есть такая схема. На публичном файловом хостинге размещают зашифрованные архивы, а в скрытосетях ссылки и пароли. В итоге, удалить могут только если сдаст кто-то из аудитории сайта, с другой стороны это будет редко, а значит не проблема перезаливать с другим паролем, зато юзеры смогут скачивать на нормальной скорости.

большое спасибо, за столь развернутый ответ. Хотелось бы уточнить. напомню 10 ТБ контента. Я правильно понимаю:

1) достаточно воспользоваться скажем http://ddosov.net/tariffs.html. Где указаны тарифы на проксирование трафика, проблема возникает лишь в ширине канала? Тогда весь контент остается на моем оборудовании вместе с сайтом.

2) либо ж. берется абуза и на сайте контент передается магнет ссылками к примеру на дц++ или торрент. а если я хочу что бы с меня смотрели? онлайн просмотр??

в принципе , у меня дома канал 100 мб. мне бы хотелось что бы физический аппаратура была дома. а вот адрес был законсперирован. при чем полностью.

Что-то мне подсказывает, что в твоем случае конспирация уже успешно провалена.

=) начнем с того что я еще ничего не сделал )

Источник

Adblock
detector