Little boy questioned his mother, he asked what he can be in the future..with a sad smile, she tells him he can be anything he wants to be.... Boy said he’d become (an) astronaut and fly out into space crews around the universe he wanted to see the stars and also see other planets in outer space------------- "Why don’t we just keep dreaming, let’s keep our mind with dream and faith, as long as we wish we can make it come true, how old you are never forget your dream and keep dreaming "

Monday, 14 May 2018

Serangan Berbasis DNS part II (Fast Flux, Double Flux dan DGA)

Fast Flux

Fast flux adalah teknik DNS yang digunakan oleh penyerang untuk menyembunyikan situs phishing dan malware mereka di balik jaringan yang terus berubah dari host yang dikompromikan bertindak sebagai proxy. Ide dasar di balik fast flux adalah memiliki banyak alamat IP yang terasosisikan dengan nama domain yang sepenuhnya memenuhi legal, di mana alamat IP diubah dengan frekuensi sangat tinggi (biasanya beberapa detik hingga beberapa menit) dengan mengubah catatan record A DNS. TTL untuk setiap resource DNS juga dibuat sangat singkat. Misalnya, korban yang terhubung ke situs web terinfeksi yang sama setiap menit sebenarnya dapat terhubung ke server terinfeksi yang berbeda setiap kali.

Botnet adalah jaringan komputer yang terinfeksi yang dikendalikan oleh software berbahaya. Botnets menggunakan beberapa mekanisme untuk berkomunikasi dengan server CnC pusat seperti DNS, HTTP, HTTPS, IRC, dan sebagainya. Botnets sering menggunakan teknik Fast Flux. Fast Flux memungkinkan botnet untuk memanfaatkan sejumlah pergeseran host yang terinfeksi yang tersembunyi di balik satu domain yang sah.

Botnets juga dapat menggunakan satu atau lebih nama domain diasosiasikan ke banyak alamat IP yang berbeda selama rentang waktu yang singkat. Teknik ini juga dikenal sebagai FFSN. Mencatat DNS berbahaya seringkali lebih sulit daripada alamat IP yang dikompromikan, karena banyak catatan DNS dapat dibuat untuk alamat IP yang sama atau berbeda beda.

Dalam contoh yang ditunjukkan pada gambar di atas, contoh hostname example.com yang sama diubah ke alamat IP yang berbeda beda, karena alamat IP example.com berubah dengan cepat. Karena alamat IP berubah dengan cepat, teknik blacklist tradisional yang menggunakan alamat IP tidak akan efektif. fast flux efektif menyembunyikan server jahat dari deteksi dan sehingga seorang defender tidak dapat menemukan satu titik pun untuk memfokuskan upaya mereka.

Double Flux

Teknik multifaset lain yang digunakan oleh penyerang dimana dengan cepat mengubah baik nama host ke pemetaan alamat IP, dimana juga digunakan oleh nameserver otoritatif menggunakan catatan resource dari  server DNS, yang dikenal sebagai "double IP flux." Dalam contoh yang ditunjukkan pada gambar di atas, ns.example.com adalah salah satu server nama otoritatif yang digunakan untuk domain penyerang, dan alamat IP dari server ns.example.com juga berubah dengan cepat. Double IP flux menambahkan lapisan tambahan untuk membuatnya lebih sulit untuk menentukan sumber serangannya.

Domain generation algorithms

DGA terlihat di berbagai jenis malware yang digunakan untuk mengacak nama domain secara berkala. Komponen acak dalam nama domain dapat berupa angka acak atau waktu saat ini, dan dikombinasikan dengan karakter alfanumerik. Algoritme akan menghasilkan nama domain yang berbeda di setiap iterasi. Nama domain DGA biasanya dihasilkan oleh keluarga malware tertentu untuk menghubungi server CnC mereka sebagai skema terhadap domain, atau pemblokiran IP dari malware CnC, atau untuk mencegah domain dari yang mudah diidentifikasi seperti yang tercode didalalam malware. Dalam contoh yang ditampilkan dalam gambar di atas, nama subdomain yang dihasilkan secara acak digunakan, dan permintaan untuk nama-nama subdomain tersebut menghasilkan alamat IP yang sama.

Teknik DGA dipopulerkan oleh malware Conficker.a dan Conficker.b, yang menghasilkan 250 nama domain per hari. Dimulai dengan Conficker.c, malware akan menghasilkan 50.000 nama domain per hari.

Botnets sering menggunakan nama domain yang dibuat menggunakan DGA. Teknik ini membuatnya lebih sulit untuk sistem reputasi statis untuk mempertahankan daftar akurat dari semua domain CnC yang ada. Banyak kriminal di dunia maya hanya akan mendaftar beberapa kemungkinan domain yang dihasilkan pada satu waktu. Atau, malware dapat mencoba mengarahkan lalu lintas DNS botnet ke server DNS rekursif cybercriminal yang dimiliki. Botnet seperti itu dapat mengubah nama domain ke alamat IP yang berbeda secara relatif terhadap seluruh Internet. Ini juga memungkinkan botnet untuk mengubah nama domain terkenal (misalnya, google.com) ke pengendali botnet.

Penanggulangan untuk menyerang teknik menggunakan fast flux, double flux, dan DGA diantaranya sebagai berikut:
  • Pantau log DNS untuk aktivitas mencurigakan seperti permintaan DNS dengan nama domain panjang yang dibuat secara acak.
  • Terapkan solusi, seperti Cisco OpenDNS, dengan mengarahkan server DNS Anda ke OpenDNS. OpenDNS menyelesaikan dan mengarahkan lebih dari 80 miliar permintaan internet setiap hari, dari 65 juta konsumen aktif dan pengguna perusahaan di lebih dari 160 negara. Kumpulan data yang beragam ini mengungkapkan miliaran kombinasi nama domain, asal, dan alamat IP tujuan. Data-data ini yang dikumpulkan oleh OpenDNS dapat digunakan untuk menemukan di mana serangan dipentaskan dan diluncurkan dan seberapa luas serangan itu, dan bahkan dapat memprediksi ancaman di masa depan. OpenDNS terus mengamati pola permintaan DNS baru yang tidak biasa, nama domain atipikal, dan catatan DNS mencurigakan atau perubahan rute BGP. OpenDNS menggunakan pembelajaran mesin untuk mengidentifikasi malware, botnet, phishing, dan ancaman lanjutan berdasarkan aktivitas real-time dan historis.
Sumber : SECFND section 7
Diposkan oleh pada
Label: ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)