think you know fast flux domains think again
play

Think You Know Fast-Flux Domains? Think Again. New - PowerPoint PPT Presentation

Mar 30, 2023 •204 likes •453 views

Think You Know Fast-Flux Domains? Think Again. New Trends in Fast-Flux Domains Wei Xu, Xinran Wang Palo Alto Networks What we used

  1. Think ¡You ¡Know ¡Fast-­‑Flux ¡Domains? ¡ ¡ Think ¡Again. ¡ New ¡Trends ¡in ¡Fast-­‑Flux ¡Domains ¡ ¡ Wei ¡Xu, ¡Xinran ¡Wang ¡ Palo ¡Alto ¡Networks ¡

  2. What ¡we ¡used ¡to ¡know ¡

  3. What ¡we ¡used ¡to ¡know ¡ • Malicious ¡content ¡distribuDon ¡network ¡ • Layer ¡of ¡Proxy ¡ ¡ • Rate ¡of ¡change: ¡fast ¡ • LocaDon ¡of ¡change: ¡various ¡ • AKacker’s ¡ ¡raDonale ¡ – Disposable ¡frontend ¡nodes ¡ – Long ¡live ¡core ¡backend ¡server ¡(bullet-­‑proof ¡ hosDng) ¡

  4. What ¡we ¡know ¡now ¡ • Slower ¡change ¡rate ¡ • Sharing ¡of ¡IP ¡addresses, ¡name ¡servers ¡ • Double-­‑flux ¡OR ¡n-­‑flux ¡ • One ¡IP ¡address ¡at ¡a ¡Dme ¡ • Clustering ¡

  5. Slower ¡Change ¡Rate ¡ • “Fast-­‑flux ¡domains’ ¡changing ¡rate: ¡< ¡10 ¡ minutes/IP” ¡[1] ¡ • 80% ¡Fast-­‑flux ¡domains ¡> ¡30 ¡minutes/IP ¡ • Average: ¡73.55 ¡minutes/IP ¡ [1] ¡Holz ¡ et.al ¡,“Measuring ¡and ¡detecDng ¡fast-­‑flux ¡service ¡networks”, ¡NDSS’08 ¡

  6. Why ¡Slower? ¡ • It’s ¡always ¡about ¡money! ¡ – Infected ¡hosts ¡are ¡becoming ¡more ¡valuable ¡ • Valuable ¡assets ¡for ¡bad ¡guys ¡ • Returned ¡IP ¡can ¡be ¡detected ¡and ¡neutralized ¡ – Domains ¡are ¡becoming ¡disposable ¡ • now: ¡$10 ¡per ¡year, ¡1995: ¡$100 ¡per ¡year ¡ • short ¡lifeDme ¡ • Therefore ¡ – No ¡need ¡to ¡change ¡so ¡fast ¡ – Only ¡expose ¡a ¡small ¡part ¡of ¡a ¡botnet ¡ – Avoid ¡detecDon ¡(based ¡on ¡changing ¡rate) ¡

  7. Sharing ¡of ¡IP ¡and ¡Name ¡Servers ¡ • Sharing ¡is ¡everywhere ¡ – Inter-­‑domains, ¡inter-­‑families, ¡intra-­‑families, ¡etc. ¡ – Shared ¡IP ¡addresses ¡ – Shared ¡authority ¡name ¡servers ¡ – Fast-­‑flux ¡domains ¡do ¡NOT ¡share ¡name ¡servers ¡

  8. Why ¡Sharing? ¡ • If ¡an ¡asset ¡is ¡valuable, ¡it ¡is ¡shared ¡ – Authority ¡name ¡servers ¡are ¡for ¡rent ¡ • Bullet-­‑proof ¡hosDng ¡ ¡ – IP ¡addresses ¡(botnets) ¡are ¡for ¡rent ¡ • Costs ¡to ¡infect, ¡maintain ¡and ¡operate ¡botnets ¡[2] ¡ • Name ¡servers ¡are ¡no ¡use ¡ – > ¡70% ¡name ¡servers ¡share ¡IP ¡with ¡the ¡domain ¡ [2] ¡Max ¡Goncharov ¡,“Russian ¡Underground ¡101”, ¡Trend ¡Micro ¡TR’12 ¡

  9. How ¡to ¡share? ¡ • Shared ¡IP ¡addresses ¡ – 1 st ¡level: ¡ • IP ¡addresses ¡are ¡shared ¡among ¡different ¡fast-­‑flux ¡ domains ¡using ¡the ¡same ¡authority ¡name ¡server ¡ “Control ¡point” ¡ – 2 nd ¡level ¡ • Among ¡different ¡authority ¡name ¡servers ¡ • E.g., ¡76.27% ¡shared ¡IP ¡between ¡“biocacces.ru” ¡and ¡ “biwcacecca.ru” ¡

  10. Two ¡levels ¡of ¡sharing ¡ • “biocacces.ru” ¡& ¡“biwcacecca.ru” ¡

  11. Inter-­‑malware-­‑family ¡IP ¡sharing ¡ • Trojan: ¡10% ¡~ ¡20% ¡shared ¡IP ¡addresses ¡ – Trojans ¡serve ¡very ¡different ¡purposes ¡ • Spam: ¡45% ¡shared ¡IP ¡addresses ¡ – focus ¡on ¡similar ¡topics ¡ • E.g., ¡pharmaceuDcals, ¡daDng, ¡financial, ¡etc. ¡

  12. N-­‑Flux? ¡ • Double ¡Flux ¡ – Both ¡A ¡and ¡NS ¡records ¡change ¡ • “N-­‑Flux” ¡ – The ¡level ¡of ¡NS ¡records ¡appears ¡to ¡be ¡“endless” ¡ • E.g., ¡“larstor.com” ¡=> ¡“ns*. ¡larstor.com” ¡=> ¡“ns*.ns*. ¡ larstor.com” ¡=> ¡and ¡so ¡on ¡ – Higher ¡levels ¡of ¡name ¡servers ¡are ¡resolved ¡to ¡the ¡ same ¡set ¡of ¡IPs ¡as ¡low ¡levels ¡of ¡name ¡servers ¡ – Wildcard ¡name ¡server, ¡programmed ¡DNS ¡ response ¡

  13. One ¡IP ¡at ¡A ¡Time ¡ • Return ¡one ¡IP ¡address ¡w/ ¡TTL=0 ¡ – Seems ¡like ¡more ¡IPs, ¡right? ¡ • In ¡fact, ¡NO ¡ – The ¡total ¡number ¡of ¡IP ¡is ¡less ¡than ¡the ¡case ¡where ¡ a ¡list ¡of ¡IPs ¡are ¡returned ¡ • Why? ¡ – Nullify ¡the ¡local ¡DNS ¡cache ¡ – Give ¡aKackers ¡more ¡control ¡ ¡ – Avoid ¡detecDon ¡

  14. Clustering ¡ • Bad ¡domains ¡like ¡to ¡hang ¡out ¡together, ¡like ¡ this ¡

  15. How ¡the ¡domains ¡are ¡connected ¡ • Content ¡similarity ¡ • Shared ¡IP ¡address ¡ • Shared ¡name ¡server ¡ • Name ¡similarity ¡

  16. Inter-­‑cluster ¡connecDons ¡

  17. What ¡can ¡we ¡learn ¡from ¡cluster? ¡ • Discover ¡the ¡purpose ¡ ¡ – Same ¡cluster ¡serves ¡the ¡similar ¡purpose ¡ • Learn ¡the ¡underground ¡structure ¡ – E.g., ¡botnet, ¡bullet-­‑proof ¡servers, ¡etc. ¡ • Track ¡family ¡ ¡ • Build ¡reputaDon ¡on ¡enDDes ¡ – E.g., ¡IP, ¡name ¡servers ¡ • Find ¡new ¡fast-­‑flux ¡domains ¡

  18. What ¡looks ¡like ¡Fast-­‑Flux, ¡but ¡NOT ¡ • Distributed ¡Service ¡ – NTP ¡pool ¡ • use ¡DNS ¡round ¡robin ¡to ¡select ¡NTP ¡server. ¡ ¡ E.g., ¡“pool.ntp.org” ¡ ¡ – BitCoin ¡DNS ¡seed ¡ • use ¡DNS ¡service ¡to ¡discover ¡peer ¡nodes ¡ E.g., ¡“dnsseed.bluemaK.me” ¡=> ¡7747 ¡IP ¡addresses ¡ • Censorship ¡Bypass ¡ • Leverage ¡DNS ¡to ¡prevent ¡itself ¡from ¡being ¡blocked ¡ E.g., ¡Dynamic ¡Internet ¡Technology, ¡“*.ziyouforever.com” ¡

  19. CharacterisDcs ¡of ¡benign ¡“Fast-­‑Flux” ¡ • Faster ¡Change ¡Rate ¡ • HA ¡ • What ¡we ¡can ¡learn ¡from ¡this? ¡ – “Fast” ¡is ¡no ¡longer ¡the ¡keyword ¡in ¡fast-­‑flux ¡ ¡

  20. How ¡do ¡we ¡collect ¡the ¡data? ¡ • Fast-­‑flux ¡domain ¡candidates ¡ – Malware ¡samples ¡ – Public ¡sources ¡ – Recent ¡domains ¡ • AcDve ¡monitoring ¡ • AggregaDon ¡

  21. What ¡About ¡Defense? ¡ • Do ¡not ¡rely ¡on ¡changing ¡rate ¡ • Name ¡server ¡reputaDon ¡score ¡ • Find ¡the ¡connecDons ¡(via ¡shared ¡IP) ¡among ¡ fast-­‑flux ¡domains ¡ • Appeared ¡“N-­‑Flux” ¡structure ¡

  22. Take ¡Away ¡ • Smarter, ¡smaller, ¡slower ¡Fast-­‑flux ¡networks ¡ • Avoid ¡exisDng ¡detecDon ¡approaches ¡

  23. Thank ¡you! ¡ Q ¡& ¡A ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Fast Flux Hosting and DNS ICANN SSAC What is Fast Flux Hosting? An evasion technique

Fast Flux Hosting and DNS ICANN SSAC What is Fast Flux Hosting? An evasion technique

Fast Flux Hosting and DNS ICANN SSAC What is Fast Flux Hosting? An evasion technique Goal Avoid detection and take down of web sites used for illegal purposes Technique Host illegal content at many sites Rapidly

617 views • 19 slides
Fast Flux Hosting Final Report GNSO Council Meeting 13 August 2009 1 January 2008: SAC 025

Fast Flux Hosting Final Report GNSO Council Meeting 13 August 2009 1 January 2008: SAC 025

Fast Flux Hosting Final Report GNSO Council Meeting 13 August 2009 1 January 2008: SAC 025 Fast Flux Hosting and DNS Characterizes Fast Flux (FF) as an evasion technique that enables cybercriminals to extend lifetime of compromised hosts

447 views • 19 slides
Flux Box Flux Box A concept by Flux Laboratory Flux box : concept Flux box : concept What is Flux

Flux Box Flux Box A concept by Flux Laboratory Flux box : concept Flux box : concept What is Flux

Flux Box Flux Box A concept by Flux Laboratory Flux box : concept Flux box : concept What is Flux Laboratory? ! ! The Flux Box holds the archives of many years of Flux creations and Flux Laboratory is a pluridisciplinary space, based in both

262 views • 11 slides
Flux Correction of the Land Surface Temperature in the UM Model Chen Li, Dietmar Dommenget What

Flux Correction of the Land Surface Temperature in the UM Model Chen Li, Dietmar Dommenget What

Flux Correction of the Land Surface Temperature in the UM Model Chen Li, Dietmar Dommenget What is Flux Correction? Coupled with Fully coupled Uncoupled flux correction Pros: Fast, cheap and easy to apply; Mean state bias can be significant

499 views • 19 slides
Surface imaging of flux-closure domains in thick micron-size self-assembled dots: a combined

Surface imaging of flux-closure domains in thick micron-size self-assembled dots: a combined

Surface imaging of flux-closure domains in thick micron-size self-assembled dots: a combined LEEM/XMCD-PEEM study O.Fruchart Laboratoire Louis Nel (CNRS-UJF-INPG) Grenoble Laboratoire Louis N Louis N el, Grenoble el, Grenoble, France

285 views • 25 slides
FluXOR: Detecting and Monitoring Fast-flux Service Networks Emanuele Passerini , Roberto Paleari,

FluXOR: Detecting and Monitoring Fast-flux Service Networks Emanuele Passerini , Roberto Paleari,

Universit` a degli Studi di Milano Facolt` a di Scienze Matematiche, Fisiche e Naturali Dipartimento di Informatica e Comunicazione FluXOR: Detecting and Monitoring Fast-flux Service Networks Emanuele Passerini , Roberto Paleari, Lorenzo

741 views • 35 slides
Detection and Mitigation of Fast-Flux Service Networks Thorsten Holz, Christian Gorecki, Felix

Detection and Mitigation of Fast-Flux Service Networks Thorsten Holz, Christian Gorecki, Felix

Detection and Mitigation of Fast-Flux Service Networks Thorsten Holz, Christian Gorecki, Felix Freiling, Konrad Rieck Pi1 - Laboratory for Dependable Distributed Systems Motivation Yesterday: presentation by Dagon Corrupt DNS

634 views • 42 slides
Test of thin Ultra-Fast Silicon Detectors (UFSD) for monitoring of high flux charged particle

Test of thin Ultra-Fast Silicon Detectors (UFSD) for monitoring of high flux charged particle

Test of thin Ultra-Fast Silicon Detectors (UFSD) for monitoring of high flux charged particle beams V.Monaco (Universit di Torino and INFN, Italy) Z.Amadi, R.Arcidiacono, A.Attili, N.Cartiglia, M.Donetti, F.Fausti, M.Ferrero, S.Giordanengo, O.

559 views • 25 slides
DNS Requirements Large domain registrar A few hundred thousand domains using our DNS.

DNS Requirements Large domain registrar A few hundred thousand domains using our DNS.

Scaling DNS Requirements Large domain registrar A few hundred thousand domains using our DNS. Nearly a million domains Still growing Need fast updates on the authoritative servers Especially when a new domain is added

557 views • 21 slides
An#proton Flux and An#proton-to-Proton Flux Ra#o in

An#proton Flux and An#proton-to-Proton Flux Ra#o in

An#proton Flux and An#proton-to-Proton Flux Ra#o in Primary Cosmic Rays Measured with the AMS on ISS Weiwei Xu / MIT 35 th ICRC,

847 views • 22 slides
THE ORBITSPHERE - LATITUDINAL FLUX (also could be called azimuthal flux ) As further

THE ORBITSPHERE - LATITUDINAL FLUX (also could be called azimuthal flux ) As further

THE ORBITSPHERE - LATITUDINAL FLUX (also could be called azimuthal flux ) As further exploration of the intricacies of the motions of charged sub- elements of the Orbitsphere, we here discuss the Latitudinal Flux of the Orbitsphere - that

188 views • 14 slides
High-Performance Computing at the University of Michigan: CIRRUS Flux Andrew Caird

High-Performance Computing at the University of Michigan: CIRRUS Flux Andrew Caird

CIRRUS Flux: The Idea Flux: Summary High-Performance Computing at the University of Michigan: CIRRUS Flux Andrew Caird acaird@umich.edu 29 November 2011 CIRRUS Flux: The Idea Flux: Summary CIRRUS: Flux CIRRUS is a coordination of U-M

148 views • 13 slides
#8: Flux and Gauss Law Flux (in physics) refers to the product of a field crossing an area

#8: Flux and Gauss Law Flux (in physics) refers to the product of a field crossing an area

23.1-23.3 #8: Flux and Gauss Law Flux (in physics) refers to the product of a field crossing an area Consider air flowing through a window (volume flux) = vA cos If we define an area vector, where the magnitude is equal to the area of

392 views • 9 slides
Domains of Warfare Space Sp ace Cybe Cy ber- Air ir Sp Space ace Five Fi Domains of

Domains of Warfare Space Sp ace Cybe Cy ber- Air ir Sp Space ace Five Fi Domains of

Domains of Warfare Space Sp ace Cybe Cy ber- Air ir Sp Space ace Five Fi Domains of Doma of Warfar are Lan and Se Sea Joint M ultinational Combined Arms Live-Fire Exercise Camp Grayling-Alpena CRTC 2010-2018 NORTHERN

310 views • 4 slides
The spectra of (closed) confining flux tubes in D=3+1 and D=2+1 SU(N) gauge theories Michael Teper

The spectra of (closed) confining flux tubes in D=3+1 and D=2+1 SU(N) gauge theories Michael Teper

The spectra of (closed) confining flux tubes in D=3+1 and D=2+1 SU(N) gauge theories Michael Teper (Oxford) - Lattice 2016 D=2+1, fundamental flux D=2+1, higher rep flux D=3+1, fundamental flux 1 calculate the energy spectrum of a

409 views • 24 slides
What is a flux? Phil Roe The Things We Does Know Finite Volume methods (and others) (are based

What is a flux? Phil Roe The Things We Does Know Finite Volume methods (and others) (are based

What is a flux? Phil Roe The Things We Does Know Finite Volume methods (and others) (are based on ensuring conservation by computing the flux through the surfaces of a polyhedral box. Either the normal component of the flux is evaluated at the

592 views • 14 slides
OPEN PLATFORM BaSED 5g On the road to THE Software telco Alex Jinsung Choi, Deutsche Telekom

OPEN PLATFORM BaSED 5g On the road to THE Software telco Alex Jinsung Choi, Deutsche Telekom

OPEN PLATFORM BaSED 5g On the road to THE Software telco Alex Jinsung Choi, Deutsche Telekom ONF Spotlight, Sept 2020 internal We observe accelerating market dynamics Altogether having the potential to disrupt the telco sector

277 views • 11 slides
Enabling T echnologies and the future of Networks Preeti Nagarajan Head of Strategy Business

Enabling T echnologies and the future of Networks Preeti Nagarajan Head of Strategy Business

Enabling T echnologies and the future of Networks Preeti Nagarajan Head of Strategy Business Area Networks Preeti Nagarajan Business Area Networks 2019-10-30 2019-10-28 | DVCon Keynote | | Commercial in Confidence | Page 1

298 views • 16 slides
Why do schools need network connectivity and how do they use it? Russell Ingleby. Acting

Why do schools need network connectivity and how do they use it? Russell Ingleby. Acting

Why do schools need network connectivity and how do they use it? Russell Ingleby. Acting deputy head teacher. ICT subject leader. School IT manager Assessment coordinator. Newly qualified teacher induction tutor.

542 views • 27 slides
Club Management System (CMS) - Basic Training 1 2 3 5 4 7 6 8 13 9 10 11 12 Club

Club Management System (CMS) - Basic Training 1 2 3 5 4 7 6 8 13 9 10 11 12 Club

Club Management System (CMS) - Basic Training 1 2 3 5 4 7 6 8 13 9 10 11 12 Club Management System (CMS) Basic Training Notes 1. User Info 5. Events, Treasurer and Ranking _________________________________________________

391 views • 8 slides
Case Study Building Brand Ambassadors from Within Your Organization Trish Nettleship Global

Case Study Building Brand Ambassadors from Within Your Organization Trish Nettleship Global

Case Study Building Brand Ambassadors from Within Your Organization Trish Nettleship Global Director Social Media &amp; Influence UCB, Inc Session Speakers Trish Nettleship Global Director Social Media &amp; Influence UCB, Inc. Trish

436 views • 24 slides
CS371m - Mobile Computing Content Providers And Content Resolvers Content Providers One of

CS371m - Mobile Computing Content Providers And Content Resolvers Content Providers One of

CS371m - Mobile Computing Content Providers And Content Resolvers Content Providers One of the four primary application components: activities content providers / content resolvers services broadcast receivers 2 Android

728 views • 50 slides
Distributed Object Technologies Lecture 4: Client-side Programming: An Introduction to Android

Distributed Object Technologies Lecture 4: Client-side Programming: An Introduction to Android

Organizational Communications and Distributed Object Technologies Lecture 4: Client-side Programming: An Introduction to Android Notes taken from Googles Android SDK 95-702 OCT 1 Master of Information System Management Plan For Today

492 views • 24 slides
CS 528 Mobile and Ubiquitous Computing Lecture 3a: Android Components, Activity Lifecycle,

CS 528 Mobile and Ubiquitous Computing Lecture 3a: Android Components, Activity Lifecycle,

CS 528 Mobile and Ubiquitous Computing Lecture 3a: Android Components, Activity Lifecycle, Rotating Device &amp;Saving Data Emmanuel Agu Announcement No class next week Im out of town for a grant meeting Next class in 2 weeks

944 views • 47 slides

More recommend