高速フラックスDNSとは何ですか?
Fast flux DNSは、攻撃者がコンピュータのIPアドレスの識別を防ぐために使用できる方法です。 DNSテクノロジーを悪用することで、犯罪者はノードを備えたボットネットを作成し、それらを介して接続し、法執行官が追跡できるより速くそれらを変更できます。
Fast flux DNSは、ドメインネームシステムに組み込まれた負荷分散方式を使用します。 DNSを使用すると、管理者はn番目のIPアドレスを単一のホスト名で登録できます。 代替アドレスは、複数のサーバー間でインターネットトラフィックを配信するために合法的に使用されます。 通常、ドメインホストに関連付けられているIPアドレスは、変更されたとしても、ほとんど変更されません。
しかし、犯罪者は、IPアドレスに関連付けられたDNSリソースの1/62ライフタイム(TTL)レコードを使用してキーサーバーを隠し、非常に迅速に変更できることを発見しました。 システムの悪用にはドメイン名登録機関の協力が必要であるため、ほとんどのFast flux DNSボットネットは発展途上国またはサイバー犯罪に関する法律のない他の国で発生すると考えられています。
Honeypot Projectによると、Fast flux DNSボットネットは、フィッシングWebサイト、オンラインでの医薬品の違法販売、過激派または成人向けの違法コンテンツを含むサイト、ブラウザーの脆弱性を使用する悪意のあるサイト、悪意のあるサイトを拡散するなど、多くの違法行為の責任を負っていますプログラム。
実生活の例
基本的な原理を説明したので、今度は犯罪の観点からFast Fluxネットワークを見て、Fast Fluxサービスをインストールするために必要な基本手順を確認します。 最初に、犯罪者は攻撃するドメインを登録します。 例としては、銀行名に似た偽のドメイン名を持つドメイン、または医薬品のプロモーションサイトがあります。 この例では、example.comを使用します。 私たちの調査によれば、.infoおよび.hkドメインは、最も一般的に使用されるトップレベルドメイン(TLD)の1つです。 これは、これらのドメインレジストラの仲介者が他のTLDよりも弱い制御システムを持っているという事実による可能性があります。 多くの場合、これらの偽のドメインは、盗まれたクレジットカードや偽の文書などを使用して、不正な手段で登録されます。 多くの場合、犯罪者はリダイレクタとして機能できるハッキングされたシステムのネットワークをすでに持っているか、一時的にボットネットを借りることができます。 さらに、最も安価なドメインがしばしば登録されます。 その後、犯罪者はネームサーバー(NS)レコードを公開するか、虐待的なホスティングと、プロキシ/リダイレクトフラックスエージェントを制御下に置きます。 防弾ホスティングプロバイダーの例には、ロシア、中国、および世界中の他の多くの国からのDNSサービスが含まれます。 犯罪者がこのタイプのサービスにアクセスできない場合、ハッキングされた独自のシステム、および多くの場合サイトをホストするマザーシップサイトでDNSサービスを作成します。 次に、実際の展開の2つのケースを見てみましょう。
シングルフラックス:マネーミュール
まず、単一フラックスのDNSレコードを調べますが、これはマネーラバ詐欺の実際の例です。 マネーラバお金の転送または引き出しの仲介者として行動する人は、しばしば詐欺に関与します。 たとえば、犯罪者は銀行口座からお金を盗み、誰かがそれをお金ラバで銀行口座に送金します。つまり、金銭は撤回され、犯罪者の場所、おそらく他の国に送金されます。 現代のマネーミュール詐欺のユニークな点は、マネーラバリングスキームで犯罪者に代わって行動していることに気付かずに、正当な企業のために働いていると考える可能性があることです。 多くの場合、マネーラバは実際には他の被害者のチェーンの別の被害者にすぎません。
以下は、このようなインフラストラクチャに典型的な単一フラックスDNSレコードです。 divewithsharks.hkスナップショットのDNSテーブルは約30分ごとに変化します;返される5つのレコードは、ダイヤルアップおよびブロードバンドネットワークアクセスのホーム/ビジネスネットワークへの明確な浸透を示しています。NSレコードは変更されませんが、Aレコードの一部は異なります これはマネーラバのWebサイトです。
;; WHEN: Sat Feb 3 20:08:08 2007
divewithsharks.hk. 1800 IN A 70.68.187.xxx [xxx.vf.shawcable.net]
divewithsharks.hk. 1800 IN A 76.209.81.xxx [SBIS-AS - AT&T Internet Services]
divewithsharks.hk. 1800 IN A 85.207.74.xxx [adsl-ustixxx-74-207-85.bluetone.cz]
divewithsharks.hk. 1800 IN A 90.144.43.xxx [d90-144-43-xxx.cust.tele2.fr]
divewithsharks.hk. 1800 IN A 142.165.41.xxx [142-165-41-xxx.msjw.hsdb.sasknet.sk.ca]
divewithsharks.hk. 1800 IN NS ns1.world-wr.com.
divewithsharks.hk. 1800 IN NS ns2.world-wr.com.
ns1.world-wr.com. 87169 IN A 66.232.119.212 [HVC-AS - HIVELOCITY VENTURES CORP]
ns2.world-wr.com. 87177 IN A 209.88.199.xxx [vpdn-dsl209-88-199-xxx.alami.net]
シングルフラックスネットワークは、利用可能なIPアドレスのいずれを次の回答セットでアドバタイズするかを決定する際に、何らかのロジックを適用しようとします。 これは、通信品質の継続的な監視と、場合によっては負荷分散アルゴリズムに基づいています。 新しいflux-agentのIPアドレスは、サービスネットワークの高速フローに挿入され、ノードをパフォーマンスの低いものに置き換え、ソフト化または他のメッセージノードの影響を受けます。 30分後に同じドメイン名のDNSレコードを見て、何が変わったのかを見てみましょう。
;; WHEN: Sat Feb 3 20:40:04 2007 (~30 minutes/1800 seconds later)
divewithsharks.hk. 1800 IN A 24.85.102.xxx [xxx.vs.shawcable.net] NEW
divewithsharks.hk. 1800 IN A 69.47.177.xxx [d47-69-xxx-177.try.wideopenwest.com] NEW
divewithsharks.hk. 1800 IN A 70.68.187.xxx [xxx.vf.shawcable.net]
divewithsharks.hk. 1800 IN A 90.144.43.xxx [d90-144-43-xxx.cust.tele2.fr]
divewithsharks.hk. 1800 IN A 142.165.41.xxx [142-165-41-xxx.msjw.hsdb.sasknet.sk.ca]
divewithsharks.hk. 1800 IN NS ns1.world-wr.com.
divewithsharks.hk. 1800 IN NS ns2.world-wr.com.
ns1.world-wr.com. 85248 IN A 66.232.119.xxx [HVC-AS - HIVELOCITY VENTURES CORP]
ns2.world-wr.com. 82991 IN A 209.88.199.xxx [vpdn-dsl209-88-199-xxx.alami.net]
ご覧のとおり、2つのアドバタイズされたIPアドレスが変更されています。 繰り返しますが、これら2つのIPアドレスは、ダイヤルアップまたはブロードバンドネットワークセグメントに属します。 さらに30分後、エリアを検索すると、次の情報が返されます。
;; WHEN: Sat Feb 3 21:10:07 2007 (~30 minutes/1800 seconds later)
divewithsharks.hk. 1238 IN A 68.150.25.xxx [xxx.ed.shawcable.net] NEW
divewithsharks.hk. 1238 IN A 76.209.81.xxx [SBIS-AS - AT&T Internet Services] This one came back!
divewithsharks.hk. 1238 IN A 172.189.83.xxx [xxx.ipt.aol.com] NEW
divewithsharks.hk. 1238 IN A 200.115.195.xxx [pcxxx.telecentro.com.ar] NEW
divewithsharks.hk. 1238 IN A 213.85.179.xxx [CNT Autonomous System] NEW
divewithsharks.hk. 1238 IN NS ns1.world-wr.com.
divewithsharks.hk. 1238 IN NS ns2.world-wr.com.
ns1.world-wr.com. 83446 IN A 66.232.119.xxx [HVC-AS - HIVELOCITY VENTURES CORP]
ns2.world-wr.com. 81189 IN A 209.88.199.xxx [vpdn-dsl209-88-199-xxx.alami.net]
これで、最初のリクエストで見た4つの新しいIPアドレスと1つのIPアドレスが表示されます。 これは、高速高速フラックスネットワークで使用される周期的応答アドレスメカニズムを示しています。 この例で見たように、ドメインのレコードは常に変化しています。 これらの各システムは脅威であり、ホストはリダイレクタとして機能し、リダイレクタは最終的にマネーラバのWebサイトを指します。 ここで重要な点は、アナリストがリダイレクトノードの1つにアクセスするまでサイトの実際のアドレスを見つけることができないことです。これにより、サイバー犯罪者に対する動的に変化する強力な保護シェルが作成されます。 次に、攻撃者が独自のセキュリティを強化するために追加レベルの保護を導入するアーキテクチャのデュアルストリーム高速フラックスネットワークを検討します。
-これは、この技術の機能の説明のほんの一部です。 興味のある方がいれば、補足します。
または、リンクをクリックして自分自身を理解しようとすることができます。
*マネーラバは、本質的に、ドロップ、ドロップ