Fast Flux

Da Wikipedia, l'enciclopedia libera.

Il Fast Flux è una tecnica utilizzata nelle botnet basata sul DNS per nascondere il phishing e i siti di malware dietro una rete di host compromessi che agiscono da proxy e che cambiano in continuazione. Si può anche riferire alla combinazione di reti peer-to-peer, sistemi command-and-control distribuiti, load balancing del web e redirezione di proxy utilizzate per rendere le reti di malware più resistenti rispetto alla loro individuazione e alle contromisure. Lo Storm worm è una delle varianti recenti di malware che fa uso di questa tecnica[1].

Gli utenti di internet possono osservare l'uso del fast flux negli attacchi di phishing legati a organizzazioni criminali, incluso l'attacco a MySpace.

Mentre i ricercatori della sicurezza erano a conoscenza della tecnica almeno da novembre 2006, la tecnica ha ricevuto un'attenzione maggiore da parte della stampa a partire da luglio 2007.

Single-flux e double-flux[modifica | modifica sorgente]

Il tipo più semplice di fast flux, conosciuto come "single-flux", è caratterizzato da molti nodi che all'interno della rete registrano e de-registrano il proprio indirizzo come parte della lista degli indirizzi DNS di tipo A per un singolo dominio. Questo sistema unisce il "round robin DNS" con valori molto bassi di TTL, per creare una lista di indirizzi per un certo dominio che è in continuo cambiamento. Questa lista può comprendere centinaia di migliaia di indirizzi.

Un tipo più sofisticato di fast flux, conosciuto come "double-flux", è caratterizzata da nodi nella rete che registrano e de-registrano il proprio indirizzo come parte della lista dei record NS per una certa zona. Questo fornisce uno strato addizionale di ridondanza e di sopravvivenza all'interno della rete di malware.

Durante un attacco malware, il record DNS punterà ad un sistema compromesso che agirà da proxy. Questo metodo previene il funzionamento di alcuni dei meccanismi tradizionali di difesa, ad es. le ACL. Il metodo può anche mascherare i sistemi dell'attaccante, che sfrutteranno la rete attraverso una serie di proxy e renderanno più arduo identificare la rete dell'attaccante. Il record normalmente punterà ad un indirizzo IP dove i bot vanno per registrarsi, per ricevere istruzioni o per attivare degli attacchi. Siccome gli IP passano attraverso un proxy, è possibile contraffare l'origine di queste istruzioni, aumentando la possibilità di superare le ACL IP che sono state messe nella rete.

Note[modifica | modifica sorgente]

  1. ^ IlSoftware.it - Lo "Storm worm" cambia pelle e prende di mira i blog