Sandiflux：另一個使用Fastflux技術的殭屍網路已經出現

「用指尖改變世界」

網路安全公司Proofpoint在上周五表示，他們的研究團隊觀察到了一種名為「SandiFlux」的新型Fast Flux基礎設施，可用於傳播惡意軟體，並在最近作為了GandCrab勒索軟體基礎設施的代理。

在介紹這個基礎設施之前，讓我們先來了解一下什麼是殭屍網路以及什麼是Fast Flux技術。

殭屍網路（Botnet）是指通過計算機病毒將大量主機感染之後形成的集合，攻擊者可以使用命令與控制（C&C）伺服器來控制它，以攻擊互聯網上的其他用戶和站點。

在早期的殭屍網路中，攻擊者通常會把C&C伺服器的域名或者IP地址硬編碼到惡意軟體中，受感染計算機則會通過這些信息來定時訪問C&C伺服器以獲取命令。

不過，這樣的機制使得安全研究人員能夠通過逆向惡意軟體得到C&C伺服器的域名或者IP地址，然後利用這些信息定位C&C伺服器，以此來破壞整個殭屍網路。

攻擊者為了保證C&C伺服器的安全，從而選擇了使用Fastflux技術來提高C&C伺服器的隱蔽性。

對於DNS伺服器而言，當我們對同一個域名做DNS查詢時，無論查詢多少次，至少在較長的一段時間裡返回的結果基本上是不會改變的，而Fastflux技術則可以不斷改變域名和IP地址的映射關係。

換句話來說，在短時間裡查詢使用Fastflux技術部署的域名，我們會得到不同的結果，這便使得作為殭屍網路的C&C伺服器很難被定位。

Proofpoint表示，他們的發現來源於對DarkCloud殭屍網路的長期觀察。自2014年起，DarkCloud就一直在使用Fastflux技術。組成DarkCloud的大多數受感染計算機都集中在烏克蘭和俄羅斯（分別為77.4％和14.5％）。

從2017年12月起，Proofpoint發現一些Fast Flux域已經與DarkCloud節點完全不重疊。於是他們決定分開映射和監視這個基礎設施，並將其命名為「SandiFlux」，作為一個新的基礎架構進行追蹤。

與DarkCloud不同，SandiFlux節點集中分布在羅馬尼亞和保加利亞（分別為46.4％和21.3％），同時也少量涉及其他一些地區，如歐洲、非洲、中東和亞洲南部。

在2018年3月27日，Proofpoint注意到對GandCrab勒索軟體的命令和控制已經開始了使用SandiFlux作為代理。

Proofpoint表示，儘管他們在過去的四個月時間裡並沒有觀察到DarkCloud和SandiFlux之間有任何重疊，但他們也無法斷言這兩個基礎設施之間毫無關聯。相反，他們懷疑兩個基礎設施是由同一個組織經營的。

Proofpoint指出，Fastflux已經被證明是一種十分強大的DNS技術，可以讓暗網網站、惡意基礎設施以及其他基於網路的惡意操作逃過安全研究人員或者執法人員的追蹤。

DarkCloud殭屍網路在2016年首次被發現後，在Fastflux技術的幫助下，其規模一直在持續擴大。而現在，新的SandiFlux殭屍網路已經出現，並且受感染主機的節點分布得更為廣泛。這意味著，受害者面臨的威脅不僅來源於殭屍網路導致的設備性能和帶寬降低，而且更多的威脅來自Fast Flux技術的能力在不斷增強。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！