Eklablog
Edit post Follow this blog Administration + Create my blog

Cos'è il "DNS fast flux" e come funziona

Il Fast Flux è una tecnica utilizzata dai criminali informatici per nascondere i loro siti di phishing e consegnare malware attraverso una rete di host compromessi in continua evoluzione. Questa tecnica combina diverse strategie, come il networking peer-to-peer, il distributed command and control, il bilanciamento web-based del carico e la proxy redirection, al fine di rendere le reti di malware più resistenti al rilevamento e alle contromisure.

Come funziona?

Il concetto fondamentale del Fast Flux consiste nell'associare numerosi indirizzi IP a un singolo nome di dominio completamente qualificato (FQDN) e nel sostituire frequentemente questi indirizzi IP tramite la modifica dei record DNS. Questo processo avviene ad alta frequenza, spesso ogni pochi minuti, utilizzando una rotazione di indirizzi IP e un breve Time-To-Live (TTL) per i record delle risorse DNS. Ciò significa che quando un utente si connette a un sito web utilizzando il FQDN, in realtà si sta connettendo ogni volta a un host compromesso diverso.

Il vasto pool di indirizzi IP che ruotano non fornisce direttamente i contenuti richiesti. Infatti, i sistemi front-end compromessi agiscono come redirector, chiamati agenti di flusso (flux agents), che instradano le richieste e i dati verso i server backend. Questi server backend sono quelli che effettivamente servono i contenuti. Fondamentalmente, i nomi di dominio e gli URL dei contenuti pubblicizzati non puntano direttamente all'indirizzo IP di un server specifico, ma oscillano tra molti redirector o proxy front-end, che a loro volta inoltrano il contenuto a un altro gruppo di server backend.

Inoltre, gli attaccanti si assicurano che i sistemi compromessi utilizzati per ospitare le loro frodi abbiano la migliore banda larga e disponibilità di servizio possibile. Spesso utilizzano uno schema di distribuzione del carico che tiene conto dei risultati dei controlli di stato dei nodi, in modo che i nodi non rispondenti siano rimossi dal flusso e l'accessibilità dei contenuti sia sempre garantita.

I tipi di rete Fast Flux

Esistono due tipi principali di reti Fast Flux:

    1. Reti a flusso singolo (Single Flux Networks): In queste reti, un insieme di nodi compromessi registra e deregistra i propri indirizzi come parte della lista di record di indirizzi DNS per un singolo nome DNS. Ad esempio, in una comunicazione normale tra client e server, un browser web esegue una richiesta a un server e il server soddisfa la richiesta del client. Tuttavia, in una rete a flusso singolo, la comunicazione tra il browser del client e il server viene intercettata e instradata da un redirector chiamato flux-bot e la richiesta viene reindirizzata al sito di backend. Le reti a flusso singolo modificano i record DNS per l'indirizzo IP dei loro nodi front-end di flusso con una frequenza elevata, ad esempio ogni 3-10 minuti.
    2. Reti a doppio flusso (Double Flux Networks): Queste reti si caratterizzano per la registrazione e la deregistrazione di più nodi come parte dei record NS DNS. Sia i set di record A DNS che i record NS autoritativi per un dominio malevolo vengono continuamente modificati in modo circolare e pubblicizzati nella rete di servizi Fast Flux. Questo tipo di rete funziona in modo diverso rispetto alle reti a flusso singolo. Supponiamo che l'utente stia richiedendo una risorsa denominata http://abc.example.com. Quando il client effettua una richiesta DNS per abc.example.com, l'ultimo passo è diverso rispetto alla rete a flusso singolo. Nel caso delle reti a doppio flusso, l'indirizzo IP del nameserver autoritativo stesso cambia con frequenza elevata. Quando una richiesta DNS per abc.example.com viene ricevuta dal client, il nameserver autoritativo corrente inoltra le query al nodo "mothership" per ottenere le informazioni richieste. Il client può quindi tentare di stabilire una comunicazione diretta con il sistema di destinazione, anche se il sistema di destinazione è a sua volta un nodo redirector di flusso front-end in costante cambiamento. Ciò fornisce un ulteriore livello di ridondanza e sopravvivenza all'interno della rete di malware.

Back to home page
Share this post
Repost0
To be informed of the latest articles, subscribe:
Comment on this post