STOP勒索变种采用双重Fast Flux技术逃避检测

2022-09-26 10,044


摘要


据统计2022年上半年勒索病毒变种数量激增近2倍,全球威胁态势愈演愈烈,勒索攻击者试图利用更多样化的技术来最大化攻击和逃避检测。Fast Flux是当前网络犯罪分子在逃避检测中使用的一种流行技术,近期深信服深瞻情报实验室捕获的STOP勒索变种(加密后缀.qqjj)使用了该技术,这种技术使得攻击者可以快速切换与恶意域名关联的DNS记录,导致用户识别和阻止恶意活动变得更加困难。

什么是Fast Flux?它是如何运作的?


Fast Flux是一种基于域名系统的逃避技术,网络罪犯使用该技术将恶意软件通信域名隐藏在不断变化的受感染主机网络后面,这些主机充当攻击者源服务器的反向代理,这样可以提高C&C服务器的健壮性。


攻击者通过快速更改与该域名关联的DNS记录,将多个IP地址与一个域名相关联,并为每个IP设置非常短的“生存”时间(TTL),在注册和使用一个IP地址几分钟或几秒钟后,就会取消注册并替换为一个新的IP地址。如下图所示,这里显示了与恶意域名关联的多个IP地址的示例,每个IP地址只“存活”几分钟:

上述是一个“Single-flux”例子,相对而言更先进的技术是“Double-flux”,即不仅不断更改域名关联的IP,同时建立另一个Fast Flux来隐藏名称服务器的地址。Fast Flux网络的主要特征就是不断更改其域名、IP地址和名称服务器,这些变化快速改变了网络的关联关系,隐藏了背后的恶意源服务器,使其更难理解和防御。从本质上讲,Fast Flux将恶意域名变成了一个“移动”的目标。

STOP勒索病毒使用双重Fast Flux


近期深信服深瞻情报实验室捕获的STOP勒索变种(加密后缀.qqjj)使用了Fast Flux技术,同时进一步发现其背后团伙使用的其他规避技术,以及未启用的域名和关联的窃密恶意软件等。


STOP勒索病毒家族在国内主要通过软件捆绑,垃圾邮件等方式进行传播,此次捕获的STOP病毒变种类似于其他勒索软件一样,该病毒会加密所有流行的文件类型,并添加特定的“.qqjj”扩展名。如下是要求付款的_readme.txt文件:

通过对病毒使用的C2域名进行关联分析,发现STOP家族使用的多个恶意域名解析到同一个NS服务器,使我们发现更多该家族的恶意域名和IP,其中ocococo.org、_dmarc.rgyui.top为新注册域名,这些域名未来可能会被用于该勒索病毒攻击活动:

通过分析恶意域名(Fast Flux网络域)关联IP地址,该病毒每隔150秒就会切换域名关联的IP地址,今年6月1日以来已使用超过800个IP地址。从时间周期上看,多个域名的活动具有相似性,背后的团伙在进行STOP勒索活动时,通常也会伴随后门软件(例如关联域名amogohuigotuli.at)和窃密软件(例如关联域名derioswinf.org)的使用。部分恶意域名关联的IP数量随时间变化如下图所示:

进一步观察恶意域名随时间变化,发现背后团伙会定期修改恶意通信域名和NS服务器,这种行为也称为“Double-flux”,这使得其在网络上中获得了额外的冗余层和生存能力:

STOP勒索家族C2域名的更新


STOP勒索家族NS服务器解析记录更新


为了了解该病毒背后攻击团伙对Fast Flux的使用,我们创建了如下所示的网络图,该图体现了域名(红色)、IP地址(蓝色)、名称服务器(绿色)之间的关系。可以看到恶意软件使用的IP池与名称服务器的IP池有明显的区分,另外,越靠近中心的IP解析次数越多(被用于Fast Flux的次数越多),这也表明这些IP对应的服务器被该团伙控制时间越长。如下展现了近期攻击团伙使用相关域、IP地址和名称服务器之间的相互关系:

此外,进一步分析还发现STOP勒索病毒攻击团伙的其他信息:

(1)不仅使用Fast Flux,同时结合DGA(Domain generation algorithms)等技术来进一步强化检测逃避能力;

(2)使用多种窃密木马配合勒索病毒进行多重勒索,例如Azorult、ArkeiStealer和RedLine等,使用的通信域名同样采用Fast Flux技术;

(3)使用Fast Flux网络进行非法市场网站托管,进行非法兜售窃取的***,用户账号信息等。

小结


在本文中,STOP勒索病毒背后的黑产团伙利用Fast Flux网络用于开展各类恶意行为,例如恶意软件托管、C2通信、钓鱼网站和地下黑市网站。如果只进行基于恶意证据的收集,几乎无法有效跟踪这个网络的演变,Fast Flux网络随时会产生变化。因此,监视和拦截此类Fast Flux网络的能力至关重要。


另外,Fast Flux网络的应用也表明勒索病毒团伙在不断改变技战术、攻击手法,未来几年勒索攻击仍然会一直流行,此类网络犯罪的复杂性和创新水平不断提高,勒索病毒攻击未来仍然将会是全球最大的网络威胁。

本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/187655.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:319 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号