高速フラックス
良い記事ですね。詳しくはこちらをクリックしてください。

高速流動ドメインの Robtex DNS 分析。

ファストフラックスは、サイバー犯罪者フィッシングマルウェア配信ウェブサイトを、バックエンドのボットネットマスターへのリバースプロキシとして機能する侵害されたホストの絶えず変化するネットワーク(堅牢な自律システム)の背後に隠すために使用するドメインネームシステム(DNS ベースの回避技術です。[ 1 ] また、マルウェアネットワークの発見と対策に対する耐性を高めるために使用されるピアツーピアネットワーク、分散コマンドアンドコントロール、ウェブベースの負荷分散、およびプロキシリダイレクトの組み合わせを指すこともあります。

ファストフラックスの基本的な考え方は、単一の完全修飾ドメイン名に多数のIPアドレスを関連付け、 DNSリソースレコードを変更することでIPアドレスを非常に高い頻度で入れ替えることです。そのため、ほとんどの場合、ファストフラックスドメイン名の権威ネームサーバーは犯罪者によってホストされています。[ 2 ]

ファストフラックスは、インフラストラクチャの構成と複雑さに応じて、一般的にシングル、ダブル、ドメインのファストフラックス・ネットワークに分類されます。ファストフラックスは依然としてネットワークセキュリティにおける複雑な問題であり、現在の対策は効果を発揮していません。

歴史

ファストフラックスは、ハニーネットプロジェクトのセキュリティ研究者ウィリアム・サルスキー氏とロバート・ダンフォード氏によって2007年に初めて報告されました。[ 3 ]翌年、彼らは2008年にファストフラックスサービスネットワークの体系的な研究を発表しました。[ 4 ]ロックフィッシュ(2004年)とストームワーム(2007年)は、マルウェアの配布とフィッシングに使用された2つの有名なファストフラックスサービスネットワークでした。[ 5 ]

高速フラックスサービスネットワーク

ファストフラックスサービスネットワーク(FFSN)は、侵害されたホストのファストフラックスネットワークから得られるネットワークインフラストラクチャです。この技術は、コンテンツ配信ネットワーク(CDN)などの正当なサービスプロバイダーによっても利用されており、動的IPアドレスがインターネットホストのドメイン名と一致するように変換されます。これは通常、ラウンドロビンドメイン名システム(RR-DNS)を使用した負荷分散を目的としています。[ 6 ]ボットネットにFFSNインフラストラクチャを使用する目的は、ネットワークリクエストを中継し、「オリジンサーバー」として機能するバックエンドの防弾コンテンツサーバーへのプロキシとして機能することです。[ 7 ]

フロントエンドボットは、制御マスターに固定された一時的なホストとして機能し、フラックスエージェントと呼ばれます。フラックスエージェントのネットワークの可用性は、高速フラックスの動的な性質により不確定です。[ 1 ]バックエンドのマザーシップは、ユーザーエージェントと直接通信しません。むしろ、すべてのアクションは侵害されたフロントエンドノードを介してリバースプロキシされ、[ 8 ]攻撃を効果的に長期化し、削除の試みに対して耐性を持たせます。[ 9 ]

種類

単一および二重 DNS 高速フラックス ネットワークの図。

ファストフラックスは一般的に、シングルフラックスとダブルフラックスの2種類に分類されます。ダブルフラックスは、シングルフラックスをベースとした実装です。ファストフラックスに関連する用語には、「フラックスハーダーマザーシップノード」と「ファストフラックスエージェントノード」があり、それぞれバックエンドの防弾ボットネットコントローラーと、オリジンとクライアント間のトラフィックをリバースプロキシする侵害されたホストノードを指します。[ 10 ] [ 1 ]ファストフラックスハーダーが使用する侵害されたホストには、通常、DSLケーブルモデムなどの家庭用ブロードバンドアクセス回線が含まれます。[ 11 ]

単一フラックスネットワーク

シングルフラックスネットワークでは、高速フラックスドメイン名の権威ネームサーバーが、通常180秒から600秒の短いTTL値を持つDNSリソースレコードを繰り返し並べ替えます。ゾーンファイル内の並べ替えられたレコードA AAAA CNAMEレコードが含まれ、配置は通常、悪用されたホストのIPアドレスとDDNS名のレジストリからラウンドロビンによって行われます。[ 12 ] [ 13 ] [ 14 ] HTTPDNSは、フロントエンドのフラックスエージェントによって一般的にプロキシされるアプリケーションプロトコルのままですが、 SMTPIMAPPOPなどのプロトコルも、フラックスエージェントとバックエンドのフラックスハーダーノード間のトランスポート層(L4)TCPおよびUDPレベルのポートバインディング技術を通じて配信できます。[ 15 ]

二重フラックスネットワーク

ダブルフラックスネットワークでは、フラックスドメインの権威ネームサーバーの高頻度の入れ替えと、フロントエンドプロキシを指す A、AAAA、CNAME などの DNS リソースレコードが関係します。[ 15 ] [ 16 ]このインフラストラクチャでは、フラックスドメインの権威ネームサーバーはフロントエンドリダイレクタノードを指し、フロントエンドリダイレクタノードはDNS データグラムをバックエンドのマザーシップノードに転送し、そこでクエリが解決されます。[ 17 ] [ 18 ] NS レコードを含む DNS リソースレコードには低い TTL 値が設定されているため、間接的なレベルが追加されます。[ 19 ] [ 20 ]ダブルフラックスネットワークの NS レコードは通常、ポート 53でリッスンするリファラホストを指し、そこからフラックスドメインに対して権威を持つバックエンド DNS リゾルバにクエリが転送されます。[ 21 ] [ 22 ] : 6 フロントエンドノードのブラインドプロキシリダイレクト技術により、高度な回復力と冗長性が実現されています。 [ 22 ] : 7 ファーストフラックスドメインは、スパム配信やフィッシングにドメインワイルドカードRFC  1034仕様を悪用し、 DNSデータグラムクエリ内にカプセル化されたHTTP、 SFTP 、FTPなどのプロトコルのアプリケーション層ペイロードを転送するためにDNS隠れチャネルを使用します。[ 23 ] [ 22 ] : 6-7

ドメインフラックスネットワーク

ドメインフラックスネットワークは、フラックスハーダー母船ノードのドメイン名を継続的にローテーションさせることで、高速フラックスネットワークの運用を維持する。[ 23 ]ドメイン名は、選択された疑似乱数ドメイン生成アルゴリズム(DGA)を使用して動的に生成され、フラックスオペレータがドメイン名を大量登録する。感染したホストは、フラックスハーダー母船ノードに自身を登録するために、確認応答があるまでIPアドレスを自発的に生成、解決、接続することで、フラックスエージェントハンドシェイクの開始を繰り返し試みる。 [ 19 ]注目すべき例としては、110のトップレベルドメイン(TLD)に5万の異なるドメインを生成して運用されていたボットネットであるConfickerが挙げられる。[ 24 ]

セキュリティ対策

ファーストフラックスドメイン名の検出と緩和は、ファーストフラックスの堅牢な性質のため、ネットワークセキュリティにおいて依然として複雑な課題です。[ 25 ]バックエンドのファーストフラックス母船ノードのフィンガープリンティングはますます困難になっています、サービスプロバイダーは、バックエンドのファーストフラックス母船ノードからクライアントへの帯域外ネットワーク要求をトリガーする細工されたHTTP要求を送信することにより、特別な方法でフロントエンドのフラックスエージェントを調査して上流の母船ノードを検出できます。これにより、クライアントはネットワークトラフィックのログを分析して母船ノードのIPアドレスを推測できます。[ 26 ]さまざまなセキュリティ研究者は、ファーストフラックスに対する効果的な対策はドメイン名の使用を停止することであると示唆しています。ただし、ドメイン名レジストラは、遵守しなければならない管轄区域に依存しないサービス契約がないため、これを行うことに消極的です。ほとんどの場合、ファーストフラックスオペレーターとサイバースクワッターがこれらのレジストラの主な収入源です。[ 27 ]

ファストフラックスドメインに対する他の対策としては、ディープパケットインスペクション(DPI)、ホストベースのファイアウォール、IPベースのアクセス制御リスト(ACL)などがありますが、ファストフラックスの動的な性質上、これらのアプローチには重大な制限があります。[ 28 ]

参照

参考文献

  1. ^ a b c Li & Wang 2017、p.3。
  2. ^アルモマニ 2016、483頁。
  3. ^周 2015、3ページ。
  4. ^ Saif Al-Marshadi、Mohamed Anbar、Shankar Karuppayah、Ahmed Al-Ani(2019年5月17日)。 「DNSトラフィック分析に基づくボットネット検出アプローチのレビュー」。インテリジェント・インタラクティブコンピューティング。ネットワークとシステムの講義ノート。第67巻。シンガポールSpringer Publishingマレーシア科学大学。p. 308。doi 10.1007/978-981-13-6031-2_21。ISBN 978-981-13-6030-5. S2CID  182270258 .
  5. ^ナザリオ、ジョシュ、ホルツ、トーステン(2008年10月8日)「ネットの混乱:ファストフラックス・ボットネットの観察第3回悪意のあるソフトウェアおよび望ましくないソフトウェアに関する国際会議(MALWARE)アレクサンドリア、バージニア州電気電子学会。p . 24。doi 10.1109/MALWARE.2008.4690854。ISBN 978-1-4244-3288-2
  6. ^アルモマニ 2016、483-484頁。
  7. ^アルモマニ 2016、484頁。
  8. ^周 2015、4頁。
  9. ^周 2015、2-3頁。
  10. ^ Salusky & Danford 2007、p.1。
  11. ^ Konte、Feamster、Jung 2008、p. 8.
  12. ^ Salusky & Danford 2007、p.1-2。
  13. ^李 & 王 2017、p. 3-4.
  14. ^ 「FAQ: Fast-fluxing」 .アンドラSpamhausプロジェクト. 2021年4月29日時点のオリジナルよりアーカイブ。 2021年12月12日閲覧
  15. ^ a b Salusky & Danford 2007、p. 2.
  16. ^周 2015、5頁。
  17. ^李 & 王 2017、p. 3-5.
  18. ^周 2015、5-6頁。
  19. ^ a b Li & Wang 2017、p.4。
  20. ^ Salusky & Danford 2007、2-3ページ。
  21. ^ Konte、Feamster、Jung 2008、p. 4-6.
  22. ^ a b c Ollmann, Gunter (2009年6月4日). 「ボットネット通信トポロジー:ボットネットのコマンドアンドコントロールの複雑さを理解する」(PDF) . Core Security Technologies . 2020年3月26日時点のオリジナルよりアーカイブ(PDF) . 2022年3月3日閲覧
  23. ^ a b Hands, Nicole M.; Yang, Baijian; Hansen, Raymond A. (2015年9月). DNSを利用したボットネットに関する研究. RIIT '15: Proceedings of the 4th Annual ACM Conference on Research in Information Technology, Purdue University . United States : Association for Computing Machinery . pp.  23– 28. doi : 10.1145/2808062.2808070 .
  24. ^李 & 王 2017、p. 4-5.
  25. ^周 2015、p.1-2。
  26. ^ Salusky & Danford 2007、7ページ。
  27. ^ Konte、Feamster、Jung 2008、p. 8-11。
  28. ^ Florian Tegeler、Xiaoming Fu、Giovanni Vigna、Christoper Kruegel (2012年12月10日). 「BotFinder: ディープ・パケット・インスペクションなしでネットワークトラフィック内のボットを見つける」.第8回国際ネットワーキング実験・技術会議議事録. Association for Computing Machinery . pp.  349– 360. doi : 10.1145/2413176.2413217 . ISBN 9781450317757. S2CID  2648522 .

参考文献

「 https://en.wikipedia.org/w/index.php?title=Fast_flux&oldid=1315868183」より取得