FAST-FLUX як механізм забезпечення відмовостійкості бот-мереж

03/04/2014

Моніторинг загроз інформаційної безпеки в українському сегменті мережі Інтернет, який здійснюється фахівцями CERT-UA протягом останніх 5 років, засвідчує зміну технік реалізації і проведення мережевих атак, що почало особливо вирізнятися, в тому числі, у зв’язку із загостренням геополітичної ситуації у світі.

Встановлено, що останні випадки масового ураження шкідливим програмним забезпеченням засобів обчислювальної техніки мають на меті, окрім іншого, створення мереж інфікованих комп’ютерів (бот-мереж) з подальшим використанням останніх у зловмисних цілях (мережеві атаки, інформаційні війни, провокації, кібер-шпигунство та ін.).

Разом з тим, у зв’язку із консолідацією ІБ-спільноти, зловмисники, в свою чергу, продовжують вдосконалювати механізми забезпечення живучості бот-мереж. Одним з таких механізмів є т.з. «fast-flux», зміст якого полягає у приховуванні командно-контрольного серверу бот-мережі за рахунок співставлення його доменному імені динамічно змінюваної послідовності DNS A-записів (IP-адрес). На рис. 1 відображено приклад відповіді на DNS-запит стосовно домену командно-контрольного центру бот-мережі mandarin-infox.su (як видно, одному доменному імені співставлено 12 IP-адрес).

 

Fast flux domen

Рис. 1 – Приклад fast-flux домену 

 

Слід зауважити, що швидкість зміни переліку цих IP-адрес достатньо велика. Зазначене досягається встановленням малого значення TTL. Приклад наведено на рис. 2. 

TTL

 Рис. 2 – Поле TTL має значення 58 секунд 

 

Прийнято відрізняти два типи «fast-flux» – одинарний – «single fast-flux» та подвійний – «double fast-flux». У випадку із «double fast-flux» зміна A-записів відбувається не лише для домену, але й для NS-серверів. Як видно з рис. 1, у секції «AUTHORITY SECTION» зазначено, що функціонування домену mandarin-infox.su забезпечується двома NS-серверами: ns1.tknsk.su і ns2.tknsk.su. Якщо ж відправити запит для отримання A-записів цих авторитетних NS-серверів, отримаємо наступне (рис. 3,4).

 

3

Рис. 3

 

 4

 Рис.4

 

З метою демонстрації порядку визначення доменного імені та процесу інформаційного обміну бота (засобу обчислювальної техніки, ураженого шкідливим програмним забезпеченням) і командно-контрольного центру бот-мережі, для функціонування якої застосовуються техніки single- та double fast-flux, пропонуємо до вашої уваги наступні схематичні зображення (рис. 5,6). Зауважимо, що fast-flux боти позначено сірим кольором. 

 single_fast-flux

Рис. 5 – Принципова схема роботи single fast-flux бот-мережі 

 

Зазначимо, що ліквідувати діяльність single fast-flux бот-мережі відносно не складно, адже для цього достатньо заблокувати NS-сервер ns1.single-flux.com. Як правило, для забезпечення живучості бот-мережі, зловмисники намагаються розмістити такий NS-сервер на технічному майданчику провайдера, який не реагує на скарги і відмовляється вживати необхідних заходів (так званий «bullet-proof» або «абузостійкий» хостинг).

В той же час, вирішення питання ідентифікація реального командно-контрольного центру (single-flux.com) не є простим завданням.

 single_fast-flux2

Рис. 6 – Принципова схема роботи double fast-flux бот-мережі 

 

У випадку ж з double fast-flux бот-мережею, поряд із складністю ідентифікації реального командно-контрольного серверу бот-мережі (double-flux.com), також проблематично ідентифікувати (відключити) NS-сервери, що забезпечують її функціонування. 

Беручи до уваги вищевикладене та незважаючи на складність боротьби із fast-flux бот-мережами, CERT-UA готова запропонувати деякі підходи. Відомо, що для ліквідації загрози функціонування fast-flux бот-мереж необхідно здійснювати їх постійний моніторинг з метою:

- встановлення IP-адрес fast-flux ботів (засобів обчислювальної техніки, уражених шкідливим програмним забезпеченням, які забезпечують передачу інформаційних потоків);

- аналізу підмереж і автономних систем, до яких належать боти;

- вивчення значень TTL, частоти зміни блоків IP-адрес ботів, типу підключення ботів до Інтернет (наприклад, широкосмугове з’єднання тощо);

- ідентифікації інших відмінностей та поведінкових характеристик.

За результатами проведеної фахівцями CERT-UA роботи (в рамках реагування на інциденти з масовим ураженням) встановлено, що:

- географічно fast-flux боти знаходяться на території України, Росії та США (приблизне співвідношення: 45%:40%:10%, решта до уваги не бралася);

- здебільшого використовуються мережі широкосмугового доступу до Інтернет (Укртелеком, Київстар, МТС); в меншій мірі (30%) представлені мережі інших провайдерів;

- середнє значення TTL не перевищує 100 сек., а блоки IP-адрес fast-flux ботів змінюються, приблизно, кожні 10-12 годин.

 

Одним з найбільш дієвих (і, фактично, можливих) механізмів боротьби з fast-flux бот-мережами є відслідковування IP-адрес (доменних імен), на які fast-flux боти транслюють отримані запити. Якщо на меті стоїть ідентифікації командно-контрольного центру бот-мережі, то необхідно аналізувати інформаційні потоки на кроках 6 (рис. 5) і 8 (рис. 6).

Для зменшення області пошуку необхідно дві речі:

- в режимі реального часу ідентифікувати актуальні IP-адреси ботів;

- забезпечити аналіз вихідного трафіку з цих ботів, обмежившись протоколом http(s);

- генерувати тестові запити (із конкретним значенням для спрощення пошуку) до «живих» ботів.

Як зрозуміло, вирішення цієї проблеми без оперативного сприяння з боку відповідного провайдера/оператора телекомунікацій не є можливим. Аналіз інформаційних потоків може бути здійснений за допомогою систем виявлення мережевих вторгнень (IDS) та іншого програмно-апаратного забезпечення провайдера. 

У разі готовності провайдерів/операторів телекомунікацій сприяти CERT-UA боротьбі з кіберзагрозами і підвищенню захищеності національного сегменту мережі Інтернет, просимо зв’язатися по зазначеним на веб-сайті cert.gov.ua контактним даним.