有关全球网络安全的更多信息,请访问www.easyaq.com电子安全官方网站
E月14日消息,来自全球最大的CDN服务提供商Akamai的安全研究人员发现,恶意攻击者利用由超过14000个IP地址组成的僵尸网络来传播恶意软件。僵尸网络仍在运行,专家认为很难破解,因为运营商采用了更巧妙的技术——“快速通量”。
快速通量技术:
在正常的DNS服务器中,用户对同一个域名进行DNS查询,在很长一段时间内,无论查询多少次,返回的结果基本保持不变。
快流技术是指不断改变域名和ip地址映射关系的技术。攻击者可以将一组多个IP地址链接到一个特定的域名,并在DNS记录中交换新地址以避免被检测到。也就是说,如果短时间内查询Fast-flux技术部署的域名,会得到不同的结果,即Fast-Flux技术使用DNS隐藏攻击来源。这项技术已经在2007年开始使用。下图显示了快速通量技术的工作原理。
恶意软件开发者在2016年底首次使用Fast Flux技术。第一个使用这种技术的恶意软件是“风暴蠕虫”,它部署这种技术来隐藏命令和控制服务器的IP地址。大型恶意软件托管网络Avalanche也使用Fast Flux技术来隐藏其基础设施。
僵尸网络托管的恶意软件CC服务器
Akamai的研究人员在2017年EDGE大会上揭示了类似Avalanche的基础设施,托管了从钓鱼页面到网络代理,从商店到各种恶意软件CC服务器的一切。
除了托管钓鱼网页和恶意软件CC服务器之外,新发现的僵尸网络还可以用于执行自动攻击,如web数据抓取、SQL注入和暴力字典攻击。
在对所有“域名和IP地址”进行了几个月的研究后,研究人员发现,一个复杂的基础设施使用Fast Flux技术来不断改变恶意域名的IP地址,以便托管恶意软件的基础设施可以停留更长时间。
运营商将受感染的主机作为代理发送到DNS Fast Flux僵尸网络。研究人员认为,僵尸网络运营商使用受恶意软件感染的设备作为不断变化的恶意软件托管基础设施的一部分。运营商在每台主机上安装代理包,将设备暴露给网络,并向攻击者发送流量。
当有人想要连接恶意网站时,DNS服务器会分配被感染主机的IP地址,然后将其输入流量重定向到其他地方托管的真实恶意网站。
僵尸网络由两个独立的子网组成。
在深入研究这个僵尸网络的结构后,研究人员发现整个基础设施实际上包含两个不同的部分——主机子网和CC子网。这些子网有自己的IP网段,用于临时托管域名。
大多数被管理的子网由乌克兰、罗马尼亚和俄国的IP地址组成,但CC子网的组成不同。
这些IP地址大多包含私有IP地址,如10.x.x.x和192.168.x.x,这意味着这些设备托管在私有封闭网络上。此外,一些IP地址包含财富100强公司的线索。
在分析了所有暴露的IP地址后,Akamai发现大多数托管网络暴露了端口80和443,而大多数CC子网暴露了端口7547。
747是特定于TR-069协议的端口。这表明这种设备也可能是僵尸网络的一部分。
目前,研究人员正在进一步调查。
