http://www.darkreading.com/document.asp?doc_id=129304
JULY 17, 2007
研究者表示,網路犯罪者逐漸使用一種先進的方法來隱藏並支持他們的惡意網站與 botnet「基礎建設」 -- 稱為「fast-flux」-- 那會使得他們更難被偵測到。
根據 Honeynet Project & Research Alliance 所釋出的一份針對新興網路與技術的新報告(http://www.honeynet.org/papers/ff/index.html)指出,在二個聲名狼藉的惡意軟體家族 -- Warezov/Stration 與 Storm -- 背後的犯罪組織,過去幾個月來分別將其基礎建設移往所謂的 fast-flux service networks。Fast-flux 基本上是 load-balancing 的新花樣。它是一種依序循環式(round-robin)的方法,在此受到感染的 bot 機器(通常是家庭電腦)成了proxies 或惡意網站的主機。這些電腦會不斷地輪流改變它們的 DNS 紀錄以避免被研究者、ISPs 或執法單位查獲。
"此技術的目的是讓基於 IP 封鎖清單的方法 -- 這是用來確認惡意系統的熱門工具 -- 在預防攻擊上變得英雄無用武之地," Adam O'Donnell 說,安全供應商 Cloudmark 的新興技術主管。
研究者與 ISPs 已經知道 fast-flux 超過一年了,但直到現在,它們都沒有深入探究它如何運作。"所有對於 fast-flux 的研究都是新的。沒有人對它做出決定性的研究," Ralph Logan 說,Honeynet Project 的副總裁,同時也是 The Logan Group 的首長。"我們看見非法的、惡意的犯罪活動有上升趨勢。"
Fast-flux 協助網路犯罪者隱藏他們的內容伺服器,包括假的線上藥局、釣魚網站、money mules(錢騾,在網路上透過各種犯罪、詐欺手法搬錢或高價貨物的人)與成人內容網站,Logan 說。"這讓安全專家與 ISPs 無法發現並調節(mitigating)他們的非法內容。"
像 fast-flux 這樣的壞傢伙 -- 不只是因為它讓它們能夠持續運作下去,還因為它比感染多重機器的傳統方式更加有效率,而傳統方式也較易被發現。
"ISP 可能會關掉我 100 台機器,而我接著得要感染另 100 台以上,來為我的內容服務,並傳送我的 spam," Logan 說。然而 fast-flux,讓駭客們設立與「母船(負責命令與控制)」接觸的 proxy servers(代理伺服器)。它在犧牲者(client)與內容機器之間增添了一層模糊地帶,他說。
一個領域有數千個 IP 位址,全都會頻繁的輪替 -- 所以 proxy 機器也會定期輪替 -- 有些可以頻繁到每三分鐘一次 -- 以避免偵測。"It's not a bunch of traffic to one node serving illegal code," Logan 說。
"我送一封釣魚郵件給你,你點了 www.homepharmacy.com -- 不過那很可能是位於 PacBell 的 Grandma 的電腦在跟你對話,它醒來然後接著說:'喔~輪到我了。在接下來幾分鐘內,你可能有 100 個不同的使用者連上 Grandma 的電腦,然後接下來換 Auntie Flo 的電腦獲得命令與控制," Logan 說。
家庭 PC proxies 以平常的方式感染,透過垃圾郵件、病毒或其他常見管道,Logan 說。
Honeynet Project & Alliance 就設立了一個 honeypot 來招惹 fast-flux service network 的感染。"我們的 honeypot 可以捕捉母船與終端節點之間的真實流量," Logan 說。該聯盟仍在研究 fast-flux network 相關的行為,他說。
對於 fast flux 能有什麼對策?ISPs 與使用者應該探測可疑的節點並伽使用入侵偵測系統;封鎖 TCP port 80 與 UDP 53;封鎖對於母船的存取,以及其他偵測到的控制機器;"blackhole" DNS 與 BGP route-injection;以及監控 DNS,該報告說。
Cloudmark 的 O'Donnell 說,fast flux 只是這些壞傢伙的最新求生方法:還有更多等著瞧。
※ fast-flux service network 就是一種 HA 控制網路:
* Fast flux foils bot-net takedownhttp://www.securityfocus.com/news/11473
* Botnet 開始爭奪地盤
* FBI 遠端安裝間諜軟體辦案?
