14万个IP地址组成的Fast Flux僵尸网络浮出水面

2017-10-20 13:54

  全球最大CDN(内容分发网络)服务商Akamai公司的研究人员发现,恶意者利用1.4万多个IP地址组成的僵尸网络恶意软件。该僵尸网络仍在运作,专家认为很难击垮它,因为操作人员采用了一种更巧妙的技术——“Fast Flux”。

  在正常的DNS服务器中,用户对同一个域名做DNS查询,在较长的一段时间内,无论查询多少次返回的结果基本保持不变。

  Fast-flux技术是指不断改变域名和IP地址映射关系的一种技术,者可以将多个IP地址的集合链接到某个特定的域名,并将新的地址从DNS记录中换入换出,回避检测。也就是说在短时间内查询使用Fast-flux技术部署的域名,会得到不同的结果,即Fast Flux技术利用DNS隐藏的来源。这项技术在2007年就已经有人使用它。下图为Fast-flux技术工作方式。

  恶意软件开发人员2016年底首次使用Fast Flux技术。利用该技术的首个恶意软件是“Storm Worm”,这款恶意软件部署这种技术隐藏命令与控务器(C&C Server)的IP地址。大型恶意软件托管网络“Avalanche(雪崩)”同样使用Fast Flux技术隐藏基础设施。

  Akamai研究人员在2017年度EDGE会议上揭露与Avalanche类似的基础设施,托管从网络钓鱼网页到Web代理、从店铺到各种恶意软件C&C服务器的所有内容。

  除了托管网络钓鱼网页和恶意软件C&C服务器,新发现的僵尸网络还能用来执行自动化,例如网页数据抓取、SQL注入和破解字典。

  研究人员研究所有“域名和IP地址”数月后发现,一个复杂的基础设施使用Fast Flux技术不断改变恶意域名的IP地址,这样一来,托管恶意软件的基础设施便能驻留得更久。

  操作人员在DNS Fast Flux僵尸网络中将被感染主机作为代理发送(Proxy Relay)。研究人员认为,僵尸网络操作人员将恶意软件感染的设备作为不断变化的恶意软件托管基础设施的一部分。 操作人员在每台主机上安装代理包将设备在网络中,并向者发送流量。

  当有人想连接到恶意站点时,DNS服务器会分配被感染主机(当时托管域名)的IP地址,之后再将其输入流量重定向至托管在其他地点的真实恶意网站。

  深入钻研这个僵尸网络的结构后,研究人员发现整个基础设施实际上包含两个不同的部分——托管子网络(托管并重定向恶意网站流量)和C&C子网络(僵尸网络自己的命令与控制基础设施)。这些子网络具有自己的IP段,用来临时托管域名。

  大多数托管子网络由乌克兰、罗马尼亚和俄罗斯的IP地址构成,但C&C子网络的构成不同。

  大多数这些IP地址包含私有IP地址(本地局域网上的IP),例如10.x.x.x、192.168.x.x,这意味着这些设备托管在私有的封闭网络上。此外,有些IP地址包含一些指向财富100强企业的线索。

  Akamai公司在分析所有的IP地址后发现,大多数托管网络将80和443端口在外,而大多数C&C子网络则了7547端口。

  7547是特定于TR-069协议(管理远程由器和调制调解器)的端口。这说明,这类设备可能也是僵尸网络的组成部分。