网络安全公司Proofpoint在上周五表示,他们的研究团队观察到了一种名为“SandiFlux”的新型Fast Flux基础设施,可用于传播恶意软件,并在最近作为了GandCrab勒索软件基础设施的代理。
在介绍这个基础设施之前,让我们先来了解一下什么是僵尸网络以及什么是Fast Flux技术。
僵尸网络(Botnet)是指通过计算机病毒将大量主机感染之后形成的集合,攻击者可以使用命令与控制(C&C)服务器来控制它,以攻击互联网上的其他用户和站点。
在早期的僵尸网络中,攻击者通常会把C&C服务器的域名或者IP地址硬编码到恶意软件中,CISP培训受感染计算机则会通过这些信息来定时访问C&C服务器以获取命令。
不过,这样的机制使得安全研究人员能够通过逆向恶意软件得到C&C服务器的域名或者IP地址,然后利用这些信息定位C&C服务器,以此来破坏整个僵尸网络。
攻击者为了保证C&C服务器的安全,从而选择了使用Fastflux技术来提高C&C服务器的隐蔽性。
对于DNS服务器而言,当我们对同一个域名做DNS查询时,CISP培训无论查询多少次,至少在较长的一段时间里返回的结果基本上是不会改变的,而Fastflux技术则可以不断改变域名和IP地址的映射关系。
换句话来说,在短时间里查询使用Fastflux技术部署的域名,我们会得到不同的结果,这便使得作为僵尸网络的C&C服务器很难被定位。
Proofpoint表示,他们的发现来源于对DarkCloud僵尸网络的长期观察。自2014年起,DarkCloud就一直在使用Fastflux技术。组成DarkCloud的大多数受感染计算机都集中在乌克兰和俄罗斯(分别为77.4%和14.5%)。
从2017年12月起,Proofpoint发现一些Fast Flux域已经与DarkCloud节点完全不重叠。于是他们决定分开映射和监视这个基础设施,并将其命名为“SandiFlux”,作为一个新的基础架构进行追踪。
与DarkCloud不同,SandiFlux节点集中分布在罗马尼亚和保加利亚(分别为46.4%和21.3%),同时也少量涉及其他一些地区,如欧洲、非洲、中东和亚洲南部。
在2018年3月27日,Proofpoint注意到对GandCrab勒索软件的命令和控制已经开始了使用SandiFlux作为代理。
Proofpoint表示,尽管他们在过去的四个月时间里并没有观察到DarkCloud和SandiFlux之间有任何重叠,但他们也无法断言这两个基础设施之间毫无关联。相反,他们怀疑两个基础设施是由同一个组织经营的。
Proofpoint指出,Fastflux已经被证明是一种十分强大的DNS技术,可以让暗网网站、恶意基础设施以及其他基于网络的恶意操作逃过安全研究人员或者执法人员的追踪。
DarkCloud僵尸网络在2016年首次被发现后,在Fastflux技术的帮助下,其规模一直在持续扩大。而现在,新的SandiFlux僵尸网络已经出现,并且受感染主机的节点分布得更为广泛。这意味着,受害者面临的威胁不仅来源于僵尸网络导致的设备性能和带宽降低,而且更多的威胁来自Fast Flux技术的能力在不断增强。