Cybercriminelen spelen verstoppertje met fast flux-techniek

Cybercriminelen nemen steeds betere maatregelen om hun websites met criminele inhoud te verbergen. Ze nemen sinds enige tijd hun toevlucht tot fast flux. Tot deze conclusie komen onderzoekers van de Honeynet-organisatie in een rapport.

Verschillende criminele organisaties, waaronder degene die verantwoordelijk is voor de Stration-malwarefamilie, brengen hun infrastructuur onder in zogenaamde fast flux-netwerken. In een fast flux-netwerk heeft een domeinnaam, bijvoorbeeld www.phisingsite.com, enkele duizenden ip-adressen toegewezen gekregen. Deze adressen worden onderling in een hoog tempo uitgewisseld door een combinatie van round robin - een techniek die gebruikt wordt bij load balancing - en een extreem korte time-to-live van een individueel dns-record. De hostname verwijst zo ongeveer iedere drie minuten naar een andere computer. De computers zijn vaak geïnfecteerde computers van thuisgebruikers die middels een groot botnet met elkaar verbonden zijn. Binnen het netwerk controleren de criminelen regelmatig de status van de machines. Machines die niet reageren of een beperkte bandbreedte hebben worden uit het netwerk verwijderd.

Naast de hierboven beschreven methode, wordt er om de beschikbaarheid verder te verhogen gebruik gemaakt van een tweede laag: blind proxy redirection. De computers waar de duizenden verschillende ip-adressen naar verwijzen serveren niet zelf de inhoud van de websites. In plaats daarvan fungeren ze als proxy tussen de bezoeker van de website, en de webservers in de backend. Een domeinnaam verwijst op deze manier niet meer naar een specifieke server, maar naar een grote groep frontend-proxy's, die op hun beurt de gebruiker doorsturen naar een groep backend-servers. Nog geavanceerder zijn de netwerken die gebruik maken van de double flux-techniek. Hierbij wordt ook het ip-adres van de Authoritive Name Server constant gewijzigd. De netwerken worden alle door enkele zogenaamde flux-motherships aangestuurd, vergelijkbaar met de manier waarop meer traditionele botnetwerken hun commando's van enkele master-computers in het netwerk krijgen.

Voorbeeld Fast flux-netwerken
Voorbeeld van een single flux en double flux-netwerk

Helemaal nieuw is het gebruik van fast flux door criminelen niet, een jaar geleden doken de eerste rapporten al op. The Honeynet Project & Research Alliance heeft nu echter voor het eerst grondig onderzoek naar deze netwerken gedaan. Met een honeypot werd het verkeer en de techniek van de criminelen blootgelegd. Door het toepassen van deze technieken, die ook gebruikt worden in situaties waar een hoge beschikbaarheid cruciaal is, is het opsporen en uitschakelen van criminele websites een stuk moeilijker geworden. Sites kunnen immers niet meer op basis van een ip-adres of via een enkele hostingprovider uit de lucht gehaald worden.

Door Peter de Boer

Doktersteam

Feedback • 19-07-2007 09:26 34

19-07-2007 • 09:26

34

Bron: Honeynet.org

Lees meer

Overheid VS: 'fast flux' vormt nationale bedreiging voor cyberveiligheid
Overheid VS: 'fast flux' vormt nationale bedreiging voor cyberveiligheid Nieuws van 4 april 2025
'Aanval op Belgisch internet' blijkt mislukte spamactie
'Aanval op Belgisch internet' blijkt mislukte spamactie Nieuws van 6 april 2011
Malware past dns-gegevens op thuisrouters aan
Malware past dns-gegevens op thuisrouters aan Nieuws van 13 juni 2008
Onderzoekers strooien zand in motor Storm-botnet
Onderzoekers strooien zand in motor Storm-botnet Nieuws van 25 april 2008
Verisign: ddos-aanvallen kunnen web platleggen
Verisign: ddos-aanvallen kunnen web platleggen Nieuws van 26 september 2007
IBM: minder lekken ontdekt, maar meer malware
IBM: minder lekken ontdekt, maar meer malware Nieuws van 24 september 2007
Banensite Monster gehackt voor witwassen en afpersing
Banensite Monster gehackt voor witwassen en afpersing Nieuws van 22 augustus 2007
'Botnettrojan Storm steekt Sober naar de kroon'
'Botnettrojan Storm steekt Sober naar de kroon' Nieuws van 15 augustus 2007
FBI gaat miljoen botnet-slachtoffers waarschuwen
FBI gaat miljoen botnet-slachtoffers waarschuwen Nieuws van 15 juni 2007
Cybercrime groeit flink in Nederland
Cybercrime groeit flink in Nederland Nieuws van 11 juni 2007
Europa vol ambitie in strijd tegen cybermisdaden
Europa vol ambitie in strijd tegen cybermisdaden Nieuws van 22 mei 2007
Google: 'Een op de tien webpagina's gevaarlijk'
Google: 'Een op de tien webpagina's gevaarlijk' Nieuws van 11 mei 2007
Criminelen maken misbruik van Google AdWords
Criminelen maken misbruik van Google AdWords Nieuws van 26 april 2007
Malware leunt niet langer op e-mail
Malware leunt niet langer op e-mail Nieuws van 25 april 2007
Cybercriminelen uit internetcafés geplukt
Cybercriminelen uit internetcafés geplukt Nieuws van 11 februari 2007
Hoeveelheid spam in 2006 enorm toegenomen
Hoeveelheid spam in 2006 enorm toegenomen Nieuws van 29 december 2006
'Tien procent internetters slachtoffer van online-fraude'
'Tien procent internetters slachtoffer van online-fraude' Nieuws van 20 november 2006
Beveiligingsbedrijf waarschuwt tegen phishing via VoIP
Beveiligingsbedrijf waarschuwt tegen phishing via VoIP Nieuws van 11 juli 2006
Zorgen om explosieve groei malware
Zorgen om explosieve groei malware Nieuws van 7 juli 2006
Browsermakers bespreken antiphishingmaatregelen
Browsermakers bespreken antiphishingmaatregelen Nieuws van 24 november 2005
Online fraudeurs recruteren onder studenten
Online fraudeurs recruteren onder studenten Nieuws van 7 januari 2005
Meer producten en artikelen
Netwerk en systeembeheer Criminaliteit Cybercrime

Reacties (34)

-Moderatie-faq
34
32
17
12
0
1
Wijzig sortering
Little Penguin 19 juli 2007 09:59
Hoewel organisaties, zoals de consumentenbond, veel verantwoordelijkheid bij de ISP proberen te leggen denk ik dat consumenten zichzelf (en anderen) heel eenvoudig kunnen beschermen door geen computers direct aan het internet te hangen.

Volgens mij is het gebruik van een simpele IP-masquerading/NAT router voldoende om te voorkomen dat een PC te gebruiken is voor dit doel. Waarbij de pc, als bijkomend voordeel gelijk, niet meer kwetsbaar is voor andere aanvallen van het internet en je eventueel meerdere PCs op 1 internet aansluiting kunt gebruiken.

Er is dus helemaal geen overdreven noodzaak voor anti-virus of anti-(spy|mal)ware in het besturingssysteem...
GraveR @Little Penguin19 juli 2007 10:12
Volgens mij is het gebruik van een simpele IP-masquerading/NAT router voldoende om te voorkomen dat een PC te gebruiken is voor dit doel. Waarbij de pc, als bijkomend voordeel gelijk, niet meer kwetsbaar is voor andere aanvallen van het internet en je eventueel meerdere PCs op 1 internet aansluiting kunt gebruiken.
Nee dus, de welbekende trojans maken verbinding naar buiten en krijgen via de weg de commando's om te spammen, DoS'en, etc. En als dan ook nog UPnP in de router aanstaat (zoals in 9 van de 10 gevallen is, AnDuRs KuN jE nIeT zO gOeD vUsTuRuH met MSN), kan de geinfecteerde machine ook bereikbaar gemaakt worden van buitenaf.
Little Penguin @GraveR19 juli 2007 11:05
Het gaat dus om een verbinding van buiten naar binnen en die blokkeer je -in principe- dus wel op deze manier.

Als UPnP dan echter weer een achterdeur openzet dan heb je er inderdaad niet veel aan, in dat geval zou de ISP het account toch gewoon moeten blokkeren - je bent dan mijns inziens een gevaar op de internetsnelweg aan het worden; dan ben ik niet meer tegen proactief blokkeren hoor :). Dan moet het MSN protocol maar verbeterd worden zodat je geen potentieel te misbruiken features nodig hebt...

[Reactie gewijzigd door Little Penguin op 24 juli 2024 03:38]

Anoniem: 181498 @Little Penguin19 juli 2007 10:08
Het is wel veiliger (een firewall te nemen) en je weet nooit zeker. Ik denk niet dat die criminelen ze gaan vertellen wanneer ze een manier gevonden hebben om routers te omzeilen. Dan ben je vervolgens weer kwetsbaar.. :)

[Reactie gewijzigd door Anoniem: 181498 op 24 juli 2024 03:38]

Anoniem: 93798 19 juli 2007 09:39
Is het niet beter om de malafide providers op te sporen / te sanctioneren die geen controle zelf uitvoeren op hun netwerk? Zo zit op onze (nederlandstalige) website praktisch heel ASIA & AFRIC in onze firewall ... als we ooit ergens mee zever hebben, dan zijn het altijd wel IP's uit die regio. Verder ben ik van mening dat het voor een provider toch mogelijk moet zijn om binnen een eigen netwerk bots op te sporen en de betreffende klant (tijdelijk) van het netwerk af te sluiten of te beperken van verkeer. Men zit steeds maar te roepen voor controle op het verkeer (voor het downloaden tegen te gaan) maar ik denk dat men eerst beter hier kan aan werken :)

[Reactie gewijzigd door Anoniem: 93798 op 24 juli 2024 03:38]

Anoniem: 19339 @Anoniem: 9379819 juli 2007 09:52
Hoe wil je dat wereldwijd aan gaan pakken?

In Nederland zou je eventueel nog wel zoiets voor elkaar kunnen krijgen, maar het internet is vele malen groter dan dat. Er zijn ook providers in de wereld die daar niet aan mee zouden werken, omdat het ze a) niet interesseert, of b) zelf belang bij zoiets hebben, omdat elk verkeer wat ze hebben bijdraagt aan hun bestaansrecht.
i-chat @Anoniem: 1933919 juli 2007 10:28
true;

maar als wij als europa (en de vs?) zouden besluiten dat jij als ISP geen bestaansrecht hebt omdat je spammende organisaties in de hand werkt, en ineens blijkt dat jouw klanten niet meer op hives, msn en google kunne, etc... dan ga je toch eens denken lijkt me zo..
Rey Nemaattori @i-chat19 juli 2007 10:56
Als de/een overheid er voorzorgt dat jou klanten niet meer op hyves of google kunnen komen, kun je spreken van censuur O-)
Rekcor @Rey Nemaattori19 juli 2007 11:37
Niet mee eens. Het zou censuur zijn als jou klanten vanwege de inhoud van Hyves of Google geweerd worden.

i-chat doelt op ISP's die malafide methoden eropna houden dan wel niet voldoende bestrijden.

Stel jij begint een piratenzender en je moet daar mee stoppen van de overheid. Dan kun je niet zeggen dat jouw luisteraars gecensureerd worden, nee, jij bent gewoon verkeerd bezig.

[Reactie gewijzigd door Rekcor op 24 juli 2024 03:38]

mae-t.net @Anoniem: 9379819 juli 2007 20:10
Jouw methode werkt uitstekend voor sommige organisaties die geen wereldwijde contacten hebben, maar geloof het of niet: uit Afrika of Azie kunnen ook nuttige mails komen...
Anoniem: 113730 19 juli 2007 10:46
De fast-flux-techniek lijkt me erg goed voor de p2p link websites om de big-nobreiners het leven lastig te maken.

Encryptie en fast-flux zouden dan gebruikt kunnen worden om de torrent en andere link site's binnen /via de p2p clients te hosten. De website's hoeven dan niet meer bij een provider te draaien maar staan gewoon versnipperd over het internet op de p2p clients. Uiteraard zullen er wel een paar motherships nodig zijn, ivm de hit and run downloaders.
Atomsk @Anoniem: 11373019 juli 2007 13:56
Hoe stel je je dat voor? Een illegaal botnetwerk opzetten hiervoor door pc's van onwetende internetgebruikers over te nemen? Op dat moment ben je gewoon bezig met hacking en dus strafbaar volgens de Nederlandse wet. Brein e.d. heeft er dan helemaal niets meer mee te maken.

Een alternatief is een vrijwillig netwerk, maar in feite heb je al zoiets in de vorm van Freenet en Thor. In de praktijk werkt dat nooit zo fantastisch omdat de meeste mensen wel willen downloaden, maar niet hun pc en bandbreedte permanent ter beschikking willen stellen voor anderen. Dus dan zit je met een traag netwerk en bovendien, als je de tijd neemt is het wel degelijk mogelijk om zo'n netwerk in kaart te brengen. Het wordt alleen wat lastiger om actie te ondernemen tegen de deelnemers. Ze kunnen echter altijd nog achter individuele uploaders aangaan natuurlijk, a la RIAA.. :P
Atomsk 19 juli 2007 13:42
Het wordt tijd dat er eens een effectieve methode tegen botnets komt. Deze worden in rap tempo steeds geavanceerder en opsporingsauthoriteiten staan blijkbaar vrijwel machteloos. Nu zijn phisingsites vaak al verdwenen op het moment dat je het verwijzende spammailtje bekijkt, maar op deze nieuwe manier zijn ze dus vrijwel niet te achterhalen en blijven ze dus lange tijd actief.

Ik snap eigenlijk niet dat er niet wat aggressiever wordt opgetreden tegen de bots van een botnetwerk. Je kunt moeilijk wereldwijd bij al de eigenaren van deze besmette pc's langsgaan om deze te fixen en van up to date beveiling voorzien. Wat dan overblijft is de rigoreuze methode van proberen een botnetwerk te infecteren en over te nemen. Heb je het onder controle dan zou je de bots opdracht kunnen geven zichzelf te vernietigen door een reset en het formateren van de bootsectors. }> Ja, jammer voor die mensen, maar sommigen hebben gewoon niet het vermogen om om te gaan met een pc. Je laat tenslotte ook geen blinden in een auto rijden. :/ Hoe minder kwetsbare pc's er op internet zijn aangesloten, hoe moeilijker het wordt voor criminelen om daar misbruik van te maken.
successor 19 juli 2007 15:42
ik vind dat dat formatteren en dat heel erg straffen veels te ver gaat. het internet is bedoeld voor iedereen , dus iedereen mag er op , computernoob of niet... het sterkste wat je kan doen is bijvoorbeeld de desbetreffende klant van het net aflsluiten en hem bijvoorbeeld alle sites doorlussen naar een waarschuwingssite.

Het is niet fair om mensen die niet veel van een pc kennen , en er net leren mee te werken uit te sluiten van het internet. da's belachelijk ...

ik vind ook dat het hosten van een fast-flux site ook goed zou zijn voor torrents en dergelijke , of om sites te hosten die "verboden" zijn in bepaalde landen (politiek getinte sites in china bijvoorbeeld) , maar dan niet op een botnet , maar op een net waarbij je bijvoorbeeld een programmatje installeert , net zoals wanneer je een koetje te grazen zet. je doneert dan bandbreedte in plaats van CPU-tijd. misschien een torrent-client met dit als extensie ? (of iets in die trand) ...

[Reactie gewijzigd door successor op 24 juli 2024 03:38]

wizzkizz 19 juli 2007 09:36
Ook ideaal dus om aan organisaties te ontkomen die "auteursrechten beschermen"
Anoniem: 154505 @wizzkizz19 juli 2007 20:48
Het maakt niet uit aan wie je probeert te ontkomen, je blijft een cybercrimineel.
a.prinsen 19 juli 2007 09:43
tja ik kan me ook niet zo'n legale doeleinde van zulke fast flux-netwerk. Maar mischien zie ik een voordehand liggende toepassing boven het hoofd?
voor Loadballancing zijn er naar mijn weten wel andere oplossingen.

Ik zou me kunnen voorstellen dat zulke providers dan ook illegaal zouden kunnen worden bestempeld. (waarschijnlijk niet handhaafbaar maar das een ander probleem)

In elk geval is het duidelijk dat instanties/mensen die dit toepassen niet achterhaald willen worden. Overigens kun je dit rookscherm verder dan double doorvoeren theoretisch zou je over net zo veel tussen hubs kunnen gaan als je zelf wilt (wordt wel elke keer trager)

Anoniem is leuk totdat je het slachtoffer ergens van bent. En zo wordt het onmogelijk om iemand te traceren ook bij "bewezen misdaad" en of "gerechtelijk uitspraak"

aan de andere kant met landen als china is dit natuurlijk weer overleven voor je mening..

[Reactie gewijzigd door a.prinsen op 24 juli 2024 03:38]

rodie83 19 juli 2007 09:39
De computers zijn vaak geïnfecteerde computers van thuisgebruikers die middels een groot botnet met elkaar verbonden zijn.
Kwestie van dat oplossen en je bent al een heel eind. Gewoon toejuichen dus als MS straks met Windows gratis antivirussoftware mee gaat leveren :)
Anoniem: 19339 @rodie8319 juli 2007 09:46
Moet jij eens opletten wat mevrouw Kroes ervan gaat vinden, als MS gratis antivirussoftware gaat meeleveren.

Zowiezo denk ik dat het gevaar meer schuilt in oudere Windows-versies van gebruikers die hun boel niet updaten, geen of outdated antivirus draaien, en/of geen firewall hebben. Windows zal best steeds veiliger worden, maar dat staat of valt met of mensen ook daadwerkelijk hun machientje bijhouden.

[Reactie gewijzigd door Anoniem: 19339 op 22 juli 2024 16:43]

Rey Nemaattori @Anoniem: 12405919 juli 2007 10:55
Als er alleen maar vrije marktwerking was dan was de wereld inmiddels in bezit van hoogstens 10-20 bedrijven....
blouweKip @Anoniem: 12405919 juli 2007 11:20
precies wat mevrouw kroes probeert te bereiken, alleen jammer dat MS gebaat is bij zo min mogelijk marktwerking.

Marktfalen noemen we de huidige situatie...
MRic3 @rodie8319 juli 2007 09:44
offtopic:
MS zal nooit gratis met windows antivirus software mee gaan leveren.. mag niet van de EU AFAIK
Anoniem: 146043 19 juli 2007 10:16
Ook ideaal dus om aan organisaties te ontkomen die "auteursrechten beschermen
De nieuwe torrent manier :D Weg Brein.

Ik heb er van gehoord en je kunt er een ding concreet tegen doen: UDP poort 53 afsluiten en nog een serie poorten. Meestal heb ik snel door aan het lampje op het modem hoe actief mijn netwerk is als de PC in rust is en dan knippert het haast niet. Zodra dat anders wordt weet ik genoeg.

Jammer voor hun dat ik de status op mijn modem in een oogwenk kan zien. Dat heb ik binnen 2 uur door.

[Reactie gewijzigd door Anoniem: 146043 op 24 juli 2024 03:38]

DavidAxe @Anoniem: 14604319 juli 2007 11:33
Ja joh, dat is een goed idee!
Als we dat allemaal zouden doen hebben we helemaal geen last meer van dit probleem!

Dan gaan we weer met hosts files werken, dat werkte vroeger ook 8)7

Wel goed dat jij elke 2 uur naar de lampjes van je modem kijkt!
f.manders 19 juli 2007 09:49
flux.thepiratebay.org :D
Anoniem: 181498 @f.manders20 juli 2007 08:53
Ik denk niet dat zij flux hebben. De naam van de eigenaar is bekend: "Fredrick Neij". Zijn servers staan in zweden en in zweden is hete volledig legaal wat zij doen.. Dus waarom zouden zij flux hebben. Daarnaast zijn ze ook geen criminele organisatie en is het niet de bedoeling van thepiratebay.org om al zijn users te hacken maar juist om alle software producenten te dissen.. (en ander copyright materiaal)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq