Malware

Fast Flux networks: คืออะไร? และทำงานอย่างไร?

เครือข่ายที่ถูกอาชญากรไซเบอร์เป็นเครื่องมือในการบดบังตัวเอง ทั้ง Ransomware และ Phishing Website

หลังจากระบบ Fast-Flux รับใช้เว็บไซต์ขบวนการ Ransomware และ Phishing มาอย่างต่อเนื่องเป็นเวลาหลายปี และตอนนี้กลายเป็นเรื่องน่าปวดหัวหากต้องมารื้อระบบกัน

Fast Flux network คืออะไร?

Fast Flux เป็นเครือข่ายที่มักถูกใช้โดยบ็อตเน็ตเพื่อซ่อนโดเมนที่ใช้ดาวน์โหลดมัลแวร์ หรือเปิดเว็บไซต์ปลอมเพื่อหลอกขโมยข้อมูล (Phishing) อาจจะมองว่าเหมือนกันเครือข่ายแบบ peer-to-peer ที่ใช้ทั้ง C&C Server และ Proxy ซึ่งทำให้ยากต่อการแกะ

พื้นฐานของ Fast Flux ใช้ไอพีหลายไอพีที่พัวพันกับโดเมน และค่อยๆเปลี่ยนอย่างต่อเนื่อง ในกรณีของ Avalanche มีโดเมนมากกว่า 800,000 โดเมนที่อยู่ในการดูแลของแฮกเกอร์ที่ใช้มาตั้งแต่ปี 2009 ด้วยไอพีที่เปลี่ยนทุกๆ 5 นาที ที่จะเชื่อมต่อกับเครื่องหลายๆเครื่องถึงแม้จะเปิดเว็บไซต์เดียวกัน

แต่เครื่องดังกล่าวไม่ได้มีส่วนเกี่ยวข้องกับการโฮสต์ และดาวน์โหลดโดยตรง แต่มีเครื่องอยู่จำนวนหนึ่งทำหน้าที่นี้อยู่ ส่วนเครื่องอื่นๆทำหน้าที่เปลี่ยนเส้นทางไปยังเครื่องดังกล่าวแทน

และเพื่อความซับซ้อนมากที่สุด อาชญากรไซเบอร์ใช้คอมพิวเตอร์พิเศษที่มีประสิทธิภาพสูงเพื่อให้มี bandwidth มากที่สุดเท่าที่จะเป็นไปได้ และมีความสมดุลมากพอที่จะรับคำขอจากเหยื่อที่กดดาวน์โหลดไฟล์ และยังต้องคำนึงถึงเสถียรภาพของการดาวน์โหลดอีกด้วย

ชนิดของ Fast Flux

Fast Flux Networks มี 2 รูปแบบ

1. Single Flux Networks

Single Flux Networks ใช้ node ส่วนตัวหลายตัวเพื่อลงทะเบียน และยกเลิกการลงทะเบียนไอพี เหมือนเป็นส่วนนึงของ DNS โดเมน วิธีจะทำให้ไอพีนั้นมีอายุเพียงแค่ 5 นาที(โดยประมาณ)

ด้วย node จำนวนมากที่ใช้เพื่อลงทะเบียนไอพีเมื่อมีตัวใดตัวหนึ่งใช้งานไม่ได้ จะมีตัวอื่นเข้ามาแทนที่ นอกจากนี้ตัวเซิร์ฟเวอร์ยังมีความแข็งแรงทางกายภาพมากเพราะมีระบบกันกระสุนซึ่งเป็นจุดขายของผู้วางจำหน่าย

2. Double Flux Networks

ในรูปแบบนี้ Fast Flux จำเป็นต้องใช้ส่วนประกอบเป็นระบบของเหยื่อ กับ ระบบที่แฮกเกอร์ควบคุมอยู่เชื่อมต่อกัน ส่วนระบบการทำงานเหมือนกับตัวที่ผ่านมา แต่มีการเพิ่มชั้นของระบบทำให้ตรวจสอบได้ยาก และหาตัวการที่เก็บมัลแวร์ไว้ได้ยาก

ในกรณีนี้ คอมพิวเตอร์ซอมบี้(โดนแฮกเกอร์ใส่โปรแกรมลงไป) จะเป็นส่วนหนึ่งของบ็อตเน็ตและถูกใช้เหมือน Proxy ที่คอยป้องกันไม่ให้เหยื่อสามารถเชื่อมต่อโดยตรงกับเซิร์ฟเวอร์ได้ ทำให้ไม่สามารถระบุตำแหน่งได้ เพื่อที่อาชญากรไซเบอร์จะได้มีเวลามากขึ้นในการใช้ระบบ

การตรวจจับ Fast Flux

เมื่อข่าวของ Avalanche ถูกปล่อยออกมา หลายผู้เชี่ยวชาญต่างสงสัยกันไปตามๆกัน เพราะ Fast Flux ถูกใช้ตั้งแต่ปี 2009 และเวลา 6 ปีนี่เป็นเวลาที่นานเกินกว่าบ็อตเน็ตทั่วไปจะถูกใช้งาน แต่นี่ก็เป็นหลักฐานว่าระบบนี้ถูกออกแบบมาได้อย่างซับซ้อนจริงๆ

Fast Flux เป็นเครื่องมือชิ้นดีของอาชญากร เพราะใช้งานง่ายและยังถูกติดตามยากอีกด้วย และยังมีโฮสต์ในหลายประเทศทำให้มีขั้นตอนยุ่งยากหากต้องการตรวจสอบ

สำหรับผู้ใช้ สิ่งที่เราพอจะแนะนำได้ก็คือ ทำอย่างไรก็ได้ให้แน่ใจได้ว่าระบบของคุณไม่ได้เป็นส่วนหนึ่งของเครือข่ายที่ถูกใช้โดยอาชญากร โดยการอัพเดททุกซอฟต์แวร์ในคอมพิวเตอร์รวมทั้งตัวระบบปฏิบัติการด้วย และใช้โปรแกรมรักษาความปลอดภัยที่มีคุณภาพ และเรามีเครื่องมือที่จะช่วยตรวจสอบระบบของคุณให้ด้วย ที่นี่

%d bloggers like this: