1.4萬個IP地址組成的Fast Flux殭屍網路浮出水面

更多全球網路安全資訊盡在E安全官網www.easyaq.com

E安全10月14日訊 全球最大CDN（內容分發網路）服務商Akamai公司的研究人員發現，惡意攻擊者利用1.4萬多個IP地址組成的殭屍網路傳播惡意軟體。該殭屍網路仍在運作，專家認為很難擊垮它，因為操作人員採用了一種更巧妙的技術——「Fast Flux」。

Fast Flux技術：

在正常的DNS伺服器中，用戶對同一個域名做DNS查詢，在較長的一段時間內，無論查詢多少次返回的結果基本保持不變。

Fast-flux技術是指不斷改變域名和IP地址映射關係的一種技術，攻擊者可以將多個IP地址的集合鏈接到某個特定的域名，並將新的地址從DNS記錄中換入換出，迴避檢測。也就是說在短時間內查詢使用Fast-flux技術部署的域名，會得到不同的結果，即Fast Flux技術利用DNS隱藏攻擊的來源。這項技術在2007年就已經有人使用它。下圖為Fast-flux技術工作方式。

惡意軟體開發人員2016年底首次使用Fast Flux技術。利用該技術的首個惡意軟體是「Storm Worm」，這款惡意軟體部署這種技術隱藏命令與控制伺服器（C&C Server）的IP地址。大型惡意軟體託管網路「Avalanche（雪崩）」同樣使用Fast Flux技術隱藏基礎設施。

殭屍網路託管的惡意軟體C&C伺服器

Akamai研究人員在2017年度EDGE會議上揭露與Avalanche類似的基礎設施，託管從網路釣魚網頁到Web代理、從店鋪到各種惡意軟體C&C伺服器的所有內容。

除了託管網路釣魚網頁和惡意軟體C&C伺服器，新發現的殭屍網路還能用來執行自動化攻擊，例如網頁數據抓取、SQL注入和暴力破解字典攻擊。

研究人員研究所有「域名和IP地址」數月後發現，一個複雜的基礎設施使用Fast Flux技術不斷改變惡意域名的IP地址，這樣一來，託管惡意軟體的基礎設施便能駐留得更久。

操作人員在DNS Fast Flux殭屍網路中將被感染主機作為代理髮送（Proxy Relay）。研究人員認為，殭屍網路操作人員將惡意軟體感染的設備作為不斷變化的惡意軟體託管基礎設施的一部分。 操作人員在每台主機上安裝代理包將設備暴露在網路中，並向攻擊者發送流量。

當有人想連接到惡意站點時，DNS伺服器會分配被感染主機（當時託管域名）的IP地址，之後再將其輸入流量重定向至託管在其他地點的真實惡意網站。

殭屍網路由兩個單獨的子網路組成

深入鑽研這個殭屍網路的結構後，研究人員發現整個基礎設施實際上包含兩個不同的部分——託管子網路（託管並重定向惡意網站流量）和C&C子網路（殭屍網路自己的命令與控制基礎設施）。這些子網路具有自己的IP段，用來臨時託管域名。

大多數託管子網路由烏克蘭、羅馬尼亞和俄羅斯的IP地址構成，但C&C子網路的構成不同。

大多數這些IP地址包含私有IP地址（本地區域網上的IP），例如10.x.x.x、192.168.x.x，這意味著這些設備託管在私有的封閉網路上。此外，有些IP地址包含一些指向財富100強企業的線索。

Akamai公司在分析所有暴露的IP地址後發現，大多數託管網路將80和443埠暴露在外，而大多數C&C子網路則暴露了7547埠。

7547是特定於TR-069協議（管理遠程路由器和調製調解器）的埠。這說明，這類設備可能也是殭屍網路的組成部分。

目前，研究人員正在進一步調查。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！