빠른 플럭스

Fast flux
핵 브리더 원자로에 대해서는 Fast Flux Test Facilities를 참조한다.
Robtex DNS 빠른 플럭싱 영역의 분석.

패스트 플럭스사이버 범죄자들이 백엔드 봇넷 마스터역대리인 역할을 하는 손상된 호스트들의 변화무쌍한 네트워크 뒤에 피싱악성코드 전달 사이트를 숨기기 위해 사용하는 DNS 회피 기법이다.[1]또한 맬웨어 네트워크를 검색 및 대응 조치에 대한 내성을 높이기 위해 사용되는 피어 투 피어 네트워킹, 분산된 명령 제어, 웹 기반 로드 밸런싱프록시 리디렉션의 조합을 참조할 수 있다.

Fastflux의 기본 아이디어는 단일 정규화된 도메인 이름과 관련된 IP 주소를 가지는 것으로, DNS 리소스 레코드의 변경을 통해 IP 주소가 매우 높은 빈도로 교환되고, 따라서 해당 빠른 플러싱 도메인 이름권위 있는 이름 서버는 (대부분의 경우) 범죄자 AC에 의해 호스팅된다.괴롭히다[2]

인프라의 구성과 복잡성에 따라, 패스트 플룩스는 일반적으로 단일, 이중, 도메인 플럭스 네트워크로 분류된다.빠른 플러싱은 네트워크 보안의 복잡한 문제로 남아있고 현재의 대응책은 여전히 효과적이지 않다.

역사

패스트 플러싱은 2007년 허니넷 프로젝트의 윌리엄 살루스키와 로버트 댄포드 보안 연구원이 처음 보고했으며, 이듬해인 2008년 패스트 플룩스 서비스 네트워크에 대한 체계적인 연구를 발표했다.[3]록피쉬(2004)와 스톰 웜(2007)은 악성코드의 유통과 피싱에 이용된 가장 잘 알려진 패스트 플룩스 서비스 네트워크 중 하나이다.[4]

Fast-flux 서비스 네트워크

FFSN(fast-flux service network)은 손상된 호스트의 고속 플룩스 네트워크의 결과물로서, CDN(content distribution network)에서도 이 기술을 사용한다. CDN(content distribution network)에서는 동적 IP 주소인터넷 호스트의 도메인 이름과 일치하도록 변환되며, 일반적으로 라운드 로빈 도메인 이름을 사용하여 로드 밸런싱을 수행할 수 있다.시스템(RR-DNS).[5]봇넷트용 FFSN 인프라를 사용하는 목적은 네트워크 요청을 중계하고 "원래 서버"[6] 역할을 하는 백엔드 방탄 콘텐츠 서버에 대한 프록시 역할을 하기 위함이다.제어 마스터에 부착된 순간적 호스트 역할을 하는 프런트엔드 봇을 플럭스-에이전트라고 하며, 빠른 플럭스의 동적 특성 때문에 네트워크 가용성이 불확실한 것을 플럭스-에이전트라고 한다.[1]

종류들

단일 및 이중 DNS 고속 플러싱

고속 플러싱은 일반적으로 단일 플럭싱과 이중 플럭싱의 두 가지 유형으로 분류되는데, 단일 플럭싱에 대한 빌드온 구현이다.고속 플러싱과 관련된 용어로는 백엔드 방탄 보트넷 컨트롤러를 지칭하는 "플룩스-허더 마더십 노드"와 "패스트-플룩스 에이전트 노드"가 있으며, 원본과 클라이언트 간의 역방향 트래픽 프록시에 관련된 손상된 호스트 노드가 각각 포함된다.[7][1]패스트 플럭스 허저가 사용하는 손상된 호스트에는 일반적으로 DSL케이블 모뎀과 같은 가정용 광대역 접속 회로가 포함된다.[8]

단일 플룩스 네트워크

단일 플룩스 네트워크에서, 빠른 플러싱 도메인 이름의 권위 있는 DNS 서버일반적으로 180~600초 사이의 낮은 TTL 값을 가진 해당 도메인의 DNS 리소스 레코드를 반복적으로 허용한다.구역 파일 내의 순열 레코드는 A, AAAA, CNAME 레코드를 포함하며, 일반적으로 이 처분은 악용된 호스트의 IP 주소와 DDNS 이름의 등록부에서 나온 둥근 로빈을 통해 이루어진다.[9][10][11]프런트엔드 플럭스-에이전트 리디렉터 노드에 의해 일반적으로 프록시되는 애플리케이션 프로토콜HTTPDNS를 유지하지만, 백엔드 플럭스-허더 모선 노드와 플럭스-에이전트 활용 TCP(L4) 및 UDP 레벨 포트 바인딩 TEC 간의 전송이 있기 때문에 SMTP, IMAP, POP 등의 다른 서비스도 플럭스-에이전트를 통해 제공할 수 있다.고깃집[12]

더블 플룩스 네트워크

이중 플룩스 네트워크는 단일 플룩스에 대한 구현 복잡성으로, 빠른 플룩스 도메인 이름의 DNS A, AAAA 또는 CNAME과 권한 있는 이름 서버의 IP 주소가 모두 플럭싱 에이전트를 통해 백엔드 마더십 노드에 역방향으로 프록시된다.[12]이 인프라에서, 빠른 플러싱 도메인의 권위 있는 네임 서버 레코드는 프런트엔드 리디렉터를 가리키며, 이 리디렉터는 DNS 데이터그램을 백엔드 마더십 노드로 포워드 한다.NS 레코드를 포함한 DNS 리소스 레코드는 Fast-flux mathership 노드의 DNS 영역 파일에서 순열되는 낮은 TTL 값으로 설정된다.이 아키텍처는 추가적인 방향을 초래한다.[13][14]이중 플룩스 네트워크의 NS 레코드는 일반적으로 플럭스-에이전트가 아닌 포트 53에서 수신하는 레퍼러 호스트를 가리킨다.레퍼러 호스트는 DNS 쿼리를 도메인 이름의 영역 파일을 호스팅하는 백엔드 DNS 서버로 전달하고, 응답 메시지를 참조 이름 서버를 통해 응답 메시지를 다시 릴레이하는 대신 백엔드 DNS 서버에서 쿼리 확인기로 직접 전송한다.[15]

도메인 플룩스 네트워크

도메인 플룩스 네트워크는 플럭스-허더 마더십 노드의 도메인 이름을 계속 회전시켜 빠른 플룩스 네트워크를 운용하는 것을 포함한다.도메인명은 선택된 유사도메인생성 알고리즘(DGA)을 사용하여 동적으로 생성되며 플럭스 오퍼레이터는 도메인명을 대량 등록한다.감염된 호스트는 플럭스-에이전트 핸드셰이크를 자발적 생성, 해결 및 IP주소에 연결하여 플럭스-헤더 모선 노드에 자신을 등록하기 위해 반복적으로 시도한다.[13]110개의 최상위 도메인(TLD)에서 5만 개의 서로 다른 도메인을 생성해 운영한 봇넷인 콘피커(Conficker)가 눈에 띄는 예다.[16]

보안대책

빠르게 플러싱되는 도메인 이름의 탐지 및 완화는 네트워크 보안의 복잡한 문제로 남아 있다.백엔드 고속 플럭스 모선 노드의 지문이 점점 어려워지고 있지만, 서비스 제공업체는 백엔드 고속 플럭스 모선 노드에서 cl로 아웃오브밴드 네트워크 요청트리거하는 조작된 HTTP 요청을 전송함으로써 특별한 방법으로 프런트엔드 플럭스-에이전트를 조사하여 업스트림 모선 노드를 탐지할 수 있다.독립된 채널에 있는 ient는 클라이언트가 그것의 네트워크 트래픽의 로그를 분석하여 mathership 노드의 IP 주소를 추론할 수 있다.[17]다양한 보안 연구자들은 빠른 플러싱에 대한 효과적인 조치가 도메인 이름을 사용에서 삭제하는 것이라고 제안한다.그러나 도메인 네임 등록자들은 그렇게 하는 것을 꺼린다. 왜냐하면 관할권 독립된 서비스 약관이 없기 때문이다. 대부분의 경우, 패스트 플룩스 운영자와 사이버 쿼터는 등록자들에게 주된 수입원이 된다.[18]

빠른 플러싱의 동적 특성 때문에 이러한 접근방식에 심각한 제한이 있지만, 빠른 플러싱 도메인에 대한 다른 대책으로는 딥 패킷 검사(DPI), 호스트 기반 방화벽, IP 기반 액세스 제어 목록(ACLs) 등이 있다.[19]

참고 항목

참조

  1. ^ a b c Li & Wang 2017, 페이지 3.
  2. ^ 알모마니 2016, 페이지 483.
  3. ^ Saif Al-Marshadi; Mohamed Anbar; Shankar Karuppayah; Ahmed Al-Ani (17 May 2019). "A Review of Botnet Detection Approaches Based on DNS Traffic Analysis". Intelligent and Interactive Computing. Lecture Notes in Networks and Systems. Singapore: Springer Publishing, Universiti Sains Malaysia. 67: 308. doi:10.1007/978-981-13-6031-2_21. ISBN 978-981-13-6030-5. S2CID 182270258.
  4. ^ Nazario, Josh; Holz, Thorsten (8 October 2008). As the net churns: Fast-flux botnet observations. 3rd International Conference on Malicious and Unwanted Software (MALWARE). Alexandria, Virginia: Institute of Electrical and Electronics Engineers. p. 24. doi:10.1109/MALWARE.2008.4690854. ISBN 978-1-4244-3288-2.
  5. ^ 알모마니 2016, 페이지 483-484.
  6. ^ 알모마니 2016, 페이지 484.
  7. ^ Salusky & Daford 2007, 페이지 1.
  8. ^ 콘테, 팜스터 & 정 2008 페이지 8.
  9. ^ 살루스키 & 다포드 2007년 1-2페이지.
  10. ^ Li & Wang 2017, 페이지 3-4.
  11. ^ "FAQ: Fast-fluxing". Andorra: The Spamhaus Project. Archived from the original on 29 April 2021. Retrieved 12 December 2021.
  12. ^ a b Salusky & Daford 2007, 페이지 2.
  13. ^ a b Li & Wang 2017, 페이지 4.
  14. ^ Salusky & Daford 2007, 페이지 2-3.
  15. ^ 콘테, 팜스터 & 융 2008 페이지 4-6.
  16. ^ Li & Wang 2017, 페이지 4-5.
  17. ^ Salusky & Daford 2007, 페이지 7.
  18. ^ 콘테, 팜스터 & 융 2008 페이지 8-11.
  19. ^ Florian Tegeler; Xiaoming Fu; Giovanni Vigna; Christoper Kruegel (10 December 2012). BotFinder: finding bots in network traffic without deep packet inspection. Association for Computing Machinery. pp. 349–360. doi:10.1145/2413176.2413217. ISBN 9781450317757. S2CID 2648522.

참고 문헌 목록