Перенос домена, также известный как Fast Flux, — это метод, используемый для быстрого изменения IP-адресов, связанных с доменным именем, чтобы избежать обнаружения, повысить устойчивость к удалению и поддерживать постоянную доступность вредоносных или иным нежелательных онлайн-сервисов. Киберпреступники обычно используют эту практику для размещения вредоносных веб-сайтов, распространения вредоносного ПО и проведения фишинговых атак.
История возникновения доменного флюсинга и первые упоминания о нем.
Смена доменов впервые возникла в начале 2000-х годов как ответ на попытки специалистов по кибербезопасности внести в черный список и заблокировать вредоносные веб-сайты на основе их IP-адресов. Этот метод получил известность, поскольку киберпреступники искали способы продлить срок службы своей вредоносной инфраструктуры и избежать обнаружения решениями безопасности.
Первое известное упоминание о смене доменов относится к 2007 году, когда ботнет Storm Worm использовал эту технику для поддержания своей инфраструктуры управления и контроля. Использование смены доменов позволило ботнету постоянно менять места своего хостинга, что затрудняло его эффективное закрытие исследователям безопасности и властям.
Подробная информация о переносе домена. Расширение темы Fluxing домена.
Перенос доменов — это, по сути, метод уклонения на основе DNS. Традиционные веб-сайты имеют статическую связь между своим доменным именем и IP-адресом, то есть доменное имя указывает на фиксированный IP-адрес. Напротив, перемещение домена создает постоянно меняющуюся связь между именем домена и несколькими IP-адресами.
Вместо того, чтобы иметь один IP-адрес, связанный с именем домена, доменное преобразование устанавливает несколько IP-адресов и часто меняет записи DNS, в результате чего домен через короткие промежутки времени разрешается на разные IP-адреса. Скорость изменения может достигать нескольких минут, что чрезвычайно затрудняет блокировку доступа к вредоносной инфраструктуре традиционными решениями безопасности.
Внутренняя структура Домена течет. Как работает преобразование доменов.
Изменение домена предполагает совместную работу нескольких компонентов для достижения его динамичного и уклончивого поведения. Ключевые компоненты:
-
Ботнет или вредоносная инфраструктура: Техника переноса домена обычно используется в сочетании с ботнетами или другими вредоносными инфраструктурами, на которых размещается реальный вредоносный контент или услуги.
-
Регистратор доменов и настройка DNS: Киберпреступники регистрируют доменное имя и настраивают записи DNS, связывая с доменом несколько IP-адресов.
-
Алгоритм изменения домена: Этот алгоритм определяет, как часто изменяются записи DNS и выбор IP-адресов для использования. Алгоритм часто контролируется сервером управления ботнетом.
-
Сервер управления и контроля (C&C): Сервер C&C организует процесс переноса домена. Он отправляет инструкции ботам в ботнете, сообщая им, какие IP-адреса использовать для домена через определенные промежутки времени.
-
Боты: Зараженные машины внутри ботнета, контролируемые командным сервером, отвечают за инициацию DNS-запросов и размещение вредоносного контента.
Когда пользователь пытается получить доступ к вредоносному домену, его DNS-запрос возвращает один из нескольких IP-адресов, связанных с доменом. Поскольку записи DNS быстро меняются, IP-адрес, видимый пользователю, продолжает меняться, что затрудняет эффективную блокировку доступа к вредоносному контенту.
Анализ ключевых особенностей изменения доменов.
Перенос доменов обладает несколькими ключевыми особенностями, которые делают его излюбленным методом злоумышленников:
-
Уклонение от обнаружения: Постоянно меняя IP-адреса, перемещение доменов позволяет избежать традиционных черных списков на основе IP-адресов и систем обнаружения на основе сигнатур.
-
Высокая устойчивость: Этот метод обеспечивает высокую устойчивость к попыткам удаления, поскольку отключение одного IP-адреса не нарушает доступ к вредоносному сервису.
-
Непрерывная доступность: Перенос домена обеспечивает постоянную доступность вредоносной инфраструктуры, гарантируя бесперебойную работу ботнета.
-
Резервирование: Несколько IP-адресов действуют как резервные места размещения, гарантируя, что вредоносная служба останется доступной, даже если некоторые IP-адреса будут заблокированы.
Типы изменения доменов
Потоки доменов можно разделить на два основных типа: Одиночный флюс и Двойной флюс.
Одиночный флюс
В Single Flux имя домена постоянно преобразуется в меняющийся набор IP-адресов. Однако авторитетный сервер имен домена остается неизменным. Это означает, что записи NS (сервера имен) для домена не изменяются, но записи A (адреса), которые определяют IP-адреса, часто обновляются.
Двойной флюс
Double Flux продвигает технику уклонения на шаг дальше, постоянно меняя как IP-адреса, связанные с доменом, так и авторитетный сервер имен домена. Это добавляет дополнительный уровень сложности, еще больше усложняя отслеживание и разрушение вредоносной инфраструктуры.
Использование доменного потока:
-
Распространение вредоносного ПО: Киберпреступники используют перенос домена для размещения веб-сайтов, распространяющих вредоносное ПО, такое как трояны, программы-вымогатели и шпионское ПО.
-
Фишинговые атаки: Фишинговые веб-сайты, предназначенные для кражи конфиденциальной информации, такой как учетные данные для входа и данные кредитной карты, часто используют смену домена, чтобы избежать попадания в черный список.
-
Командная инфраструктура ботнета: Fluxing домена используется для размещения инфраструктуры управления и контроля ботнетов, обеспечивая связь и контроль над скомпрометированными машинами.
Проблемы и решения:
-
Ложные срабатывания: Решения безопасности могут непреднамеренно блокировать законные веб-сайты из-за их связи со сменными IP-адресами. Решения должны использовать более совершенные методы обнаружения, чтобы избежать ложных срабатываний.
-
Быстро меняющаяся инфраструктура: Традиционные процедуры удаления неэффективны против перемещения доменов. Сотрудничество между организациями безопасности и механизмы быстрого реагирования необходимы для эффективного противодействия таким угрозам.
-
Синкхолинг DNS: Поглощение вредоносных доменов может нарушить перемещение доменов. Поставщики безопасности могут перенаправлять трафик из вредоносных доменов в воронки, не позволяя им достичь реальной вредоносной инфраструктуры.
Основные характеристики и другие сравнения с аналогичными терминами в виде таблиц и списков.
Вот сравнение Domain Fluxing и других связанных методов:
| Техника | Описание |
|---|---|
| Изменение домена | Быстрое изменение IP-адресов, связанных с доменным именем, чтобы избежать обнаружения и поддерживать постоянную доступность. |
| Алгоритмы генерации доменов (DGA) | Алгоритмы, используемые вредоносным ПО для создания большого количества потенциальных доменных имен для связи с командными серверами. |
| Быстрый поток | Более общий термин, который включает в себя преобразование доменов, а также другие методы, такие как DNS и преобразование служб. |
| DNS-флюксинг | Вариант Domain Fluxing, который меняет только записи DNS без изменения авторитетного сервера имен. |
| Сервисное обслуживание | Похож на Fast Flux, но предполагает быстрое изменение номеров сервисных портов, связанных с доменом или IP-адресом. |
Ожидается, что будущее смены доменов будет определяться достижениями в области кибербезопасности и технологий сетевого мониторинга. Некоторые потенциальные разработки включают в себя:
-
Машинное обучение и обнаружение на основе искусственного интеллекта: Решения по обеспечению безопасности будут все чаще использовать алгоритмы машинного обучения для выявления закономерностей изменения доменов и более точного прогнозирования вредоносных действий в домене.
-
DNS на основе блокчейна: Децентрализованные системы DNS, построенные на технологии блокчейна, могут снизить эффективность перемещения доменов, обеспечивая повышенную устойчивость к несанкционированному вмешательству и манипуляциям.
-
Совместная разведка угроз: Улучшенный обмен информацией об угрозах между организациями безопасности и интернет-провайдерами может способствовать сокращению времени реагирования и смягчению угроз изменения домена.
-
Принятие DNSSEC: Более широкое внедрение DNSSEC (расширений безопасности системы доменных имен) может повысить безопасность DNS и помочь предотвратить отравление кэша DNS, которое может быть использовано в результате атак с перераспределением доменов.
Как прокси-серверы могут быть использованы или связаны с переносом домена.
Прокси-серверы могут быть как средством, так и средством противодействия смене доменов:
1. Анонимность вредоносной инфраструктуры:
- Киберпреступники могут использовать прокси-серверы, чтобы скрыть реальные IP-адреса своей вредоносной инфраструктуры, что затрудняет отслеживание фактического места их деятельности.
2. Обнаружение и предотвращение:
- С другой стороны, авторитетные поставщики прокси-серверов, такие как OneProxy, могут сыграть жизненно важную роль в обнаружении и блокировании попыток перемещения домена. Отслеживая структуру трафика и анализируя ассоциации доменов, они могут выявлять подозрительные действия и защищать пользователей от доступа к вредоносному контенту.
Ссылки по теме
Для получения дополнительной информации о Domain Fluxing вы можете обратиться к следующим ресурсам:
- Понимание сервисных сетей Fast Flux – US-CERT
- Fast Flux: методы и профилактика – Институт SANS
- Fluxing домена: анатомия сервисной сети Fast-Flux – Symantec
Помните, что получение информации о возникающих угрозах кибербезопасности имеет решающее значение для защиты вашего присутствия в Интернете. Сохраняйте бдительность и используйте надежные решения безопасности, чтобы защитить себя от потенциальных рисков.
