think you know fast flux domains think again
play

Think You Know Fast-Flux Domains? Think Again. New - PowerPoint PPT Presentation

Mar 30, 2023 •204 likes •453 views

Think You Know Fast-Flux Domains? Think Again. New Trends in Fast-Flux Domains Wei Xu, Xinran Wang Palo Alto Networks What we used

  1. Think ¡You ¡Know ¡Fast-­‑Flux ¡Domains? ¡ ¡ Think ¡Again. ¡ New ¡Trends ¡in ¡Fast-­‑Flux ¡Domains ¡ ¡ Wei ¡Xu, ¡Xinran ¡Wang ¡ Palo ¡Alto ¡Networks ¡

  2. What ¡we ¡used ¡to ¡know ¡

  3. What ¡we ¡used ¡to ¡know ¡ • Malicious ¡content ¡distribuDon ¡network ¡ • Layer ¡of ¡Proxy ¡ ¡ • Rate ¡of ¡change: ¡fast ¡ • LocaDon ¡of ¡change: ¡various ¡ • AKacker’s ¡ ¡raDonale ¡ – Disposable ¡frontend ¡nodes ¡ – Long ¡live ¡core ¡backend ¡server ¡(bullet-­‑proof ¡ hosDng) ¡

  4. What ¡we ¡know ¡now ¡ • Slower ¡change ¡rate ¡ • Sharing ¡of ¡IP ¡addresses, ¡name ¡servers ¡ • Double-­‑flux ¡OR ¡n-­‑flux ¡ • One ¡IP ¡address ¡at ¡a ¡Dme ¡ • Clustering ¡

  5. Slower ¡Change ¡Rate ¡ • “Fast-­‑flux ¡domains’ ¡changing ¡rate: ¡< ¡10 ¡ minutes/IP” ¡[1] ¡ • 80% ¡Fast-­‑flux ¡domains ¡> ¡30 ¡minutes/IP ¡ • Average: ¡73.55 ¡minutes/IP ¡ [1] ¡Holz ¡ et.al ¡,“Measuring ¡and ¡detecDng ¡fast-­‑flux ¡service ¡networks”, ¡NDSS’08 ¡

  6. Why ¡Slower? ¡ • It’s ¡always ¡about ¡money! ¡ – Infected ¡hosts ¡are ¡becoming ¡more ¡valuable ¡ • Valuable ¡assets ¡for ¡bad ¡guys ¡ • Returned ¡IP ¡can ¡be ¡detected ¡and ¡neutralized ¡ – Domains ¡are ¡becoming ¡disposable ¡ • now: ¡$10 ¡per ¡year, ¡1995: ¡$100 ¡per ¡year ¡ • short ¡lifeDme ¡ • Therefore ¡ – No ¡need ¡to ¡change ¡so ¡fast ¡ – Only ¡expose ¡a ¡small ¡part ¡of ¡a ¡botnet ¡ – Avoid ¡detecDon ¡(based ¡on ¡changing ¡rate) ¡

  7. Sharing ¡of ¡IP ¡and ¡Name ¡Servers ¡ • Sharing ¡is ¡everywhere ¡ – Inter-­‑domains, ¡inter-­‑families, ¡intra-­‑families, ¡etc. ¡ – Shared ¡IP ¡addresses ¡ – Shared ¡authority ¡name ¡servers ¡ – Fast-­‑flux ¡domains ¡do ¡NOT ¡share ¡name ¡servers ¡

  8. Why ¡Sharing? ¡ • If ¡an ¡asset ¡is ¡valuable, ¡it ¡is ¡shared ¡ – Authority ¡name ¡servers ¡are ¡for ¡rent ¡ • Bullet-­‑proof ¡hosDng ¡ ¡ – IP ¡addresses ¡(botnets) ¡are ¡for ¡rent ¡ • Costs ¡to ¡infect, ¡maintain ¡and ¡operate ¡botnets ¡[2] ¡ • Name ¡servers ¡are ¡no ¡use ¡ – > ¡70% ¡name ¡servers ¡share ¡IP ¡with ¡the ¡domain ¡ [2] ¡Max ¡Goncharov ¡,“Russian ¡Underground ¡101”, ¡Trend ¡Micro ¡TR’12 ¡

  9. How ¡to ¡share? ¡ • Shared ¡IP ¡addresses ¡ – 1 st ¡level: ¡ • IP ¡addresses ¡are ¡shared ¡among ¡different ¡fast-­‑flux ¡ domains ¡using ¡the ¡same ¡authority ¡name ¡server ¡ “Control ¡point” ¡ – 2 nd ¡level ¡ • Among ¡different ¡authority ¡name ¡servers ¡ • E.g., ¡76.27% ¡shared ¡IP ¡between ¡“biocacces.ru” ¡and ¡ “biwcacecca.ru” ¡

  10. Two ¡levels ¡of ¡sharing ¡ • “biocacces.ru” ¡& ¡“biwcacecca.ru” ¡

  11. Inter-­‑malware-­‑family ¡IP ¡sharing ¡ • Trojan: ¡10% ¡~ ¡20% ¡shared ¡IP ¡addresses ¡ – Trojans ¡serve ¡very ¡different ¡purposes ¡ • Spam: ¡45% ¡shared ¡IP ¡addresses ¡ – focus ¡on ¡similar ¡topics ¡ • E.g., ¡pharmaceuDcals, ¡daDng, ¡financial, ¡etc. ¡

  12. N-­‑Flux? ¡ • Double ¡Flux ¡ – Both ¡A ¡and ¡NS ¡records ¡change ¡ • “N-­‑Flux” ¡ – The ¡level ¡of ¡NS ¡records ¡appears ¡to ¡be ¡“endless” ¡ • E.g., ¡“larstor.com” ¡=> ¡“ns*. ¡larstor.com” ¡=> ¡“ns*.ns*. ¡ larstor.com” ¡=> ¡and ¡so ¡on ¡ – Higher ¡levels ¡of ¡name ¡servers ¡are ¡resolved ¡to ¡the ¡ same ¡set ¡of ¡IPs ¡as ¡low ¡levels ¡of ¡name ¡servers ¡ – Wildcard ¡name ¡server, ¡programmed ¡DNS ¡ response ¡

  13. One ¡IP ¡at ¡A ¡Time ¡ • Return ¡one ¡IP ¡address ¡w/ ¡TTL=0 ¡ – Seems ¡like ¡more ¡IPs, ¡right? ¡ • In ¡fact, ¡NO ¡ – The ¡total ¡number ¡of ¡IP ¡is ¡less ¡than ¡the ¡case ¡where ¡ a ¡list ¡of ¡IPs ¡are ¡returned ¡ • Why? ¡ – Nullify ¡the ¡local ¡DNS ¡cache ¡ – Give ¡aKackers ¡more ¡control ¡ ¡ – Avoid ¡detecDon ¡

  14. Clustering ¡ • Bad ¡domains ¡like ¡to ¡hang ¡out ¡together, ¡like ¡ this ¡

  15. How ¡the ¡domains ¡are ¡connected ¡ • Content ¡similarity ¡ • Shared ¡IP ¡address ¡ • Shared ¡name ¡server ¡ • Name ¡similarity ¡

  16. Inter-­‑cluster ¡connecDons ¡

  17. What ¡can ¡we ¡learn ¡from ¡cluster? ¡ • Discover ¡the ¡purpose ¡ ¡ – Same ¡cluster ¡serves ¡the ¡similar ¡purpose ¡ • Learn ¡the ¡underground ¡structure ¡ – E.g., ¡botnet, ¡bullet-­‑proof ¡servers, ¡etc. ¡ • Track ¡family ¡ ¡ • Build ¡reputaDon ¡on ¡enDDes ¡ – E.g., ¡IP, ¡name ¡servers ¡ • Find ¡new ¡fast-­‑flux ¡domains ¡

  18. What ¡looks ¡like ¡Fast-­‑Flux, ¡but ¡NOT ¡ • Distributed ¡Service ¡ – NTP ¡pool ¡ • use ¡DNS ¡round ¡robin ¡to ¡select ¡NTP ¡server. ¡ ¡ E.g., ¡“pool.ntp.org” ¡ ¡ – BitCoin ¡DNS ¡seed ¡ • use ¡DNS ¡service ¡to ¡discover ¡peer ¡nodes ¡ E.g., ¡“dnsseed.bluemaK.me” ¡=> ¡7747 ¡IP ¡addresses ¡ • Censorship ¡Bypass ¡ • Leverage ¡DNS ¡to ¡prevent ¡itself ¡from ¡being ¡blocked ¡ E.g., ¡Dynamic ¡Internet ¡Technology, ¡“*.ziyouforever.com” ¡

  19. CharacterisDcs ¡of ¡benign ¡“Fast-­‑Flux” ¡ • Faster ¡Change ¡Rate ¡ • HA ¡ • What ¡we ¡can ¡learn ¡from ¡this? ¡ – “Fast” ¡is ¡no ¡longer ¡the ¡keyword ¡in ¡fast-­‑flux ¡ ¡

  20. How ¡do ¡we ¡collect ¡the ¡data? ¡ • Fast-­‑flux ¡domain ¡candidates ¡ – Malware ¡samples ¡ – Public ¡sources ¡ – Recent ¡domains ¡ • AcDve ¡monitoring ¡ • AggregaDon ¡

  21. What ¡About ¡Defense? ¡ • Do ¡not ¡rely ¡on ¡changing ¡rate ¡ • Name ¡server ¡reputaDon ¡score ¡ • Find ¡the ¡connecDons ¡(via ¡shared ¡IP) ¡among ¡ fast-­‑flux ¡domains ¡ • Appeared ¡“N-­‑Flux” ¡structure ¡

  22. Take ¡Away ¡ • Smarter, ¡smaller, ¡slower ¡Fast-­‑flux ¡networks ¡ • Avoid ¡exisDng ¡detecDon ¡approaches ¡

  23. Thank ¡you! ¡ Q ¡& ¡A ¡

Recommend

Fast Flux Hosting and DNS ICANN SSAC What is Fast Flux Hosting? An evasion technique

Fast Flux Hosting and DNS ICANN SSAC What is Fast Flux Hosting? An evasion technique

Fast Flux Hosting and DNS ICANN SSAC What is Fast Flux Hosting? An evasion technique Goal Avoid detection and take down of web sites used for illegal purposes Technique Host illegal content at many sites Rapidly

617 views • 19 slides
Fast Flux Hosting Final Report GNSO Council Meeting 13 August 2009 1 January 2008: SAC 025

Fast Flux Hosting Final Report GNSO Council Meeting 13 August 2009 1 January 2008: SAC 025

Fast Flux Hosting Final Report GNSO Council Meeting 13 August 2009 1 January 2008: SAC 025 Fast Flux Hosting and DNS Characterizes Fast Flux (FF) as an evasion technique that enables cybercriminals to extend lifetime of compromised hosts

447 views • 19 slides
Flux Box Flux Box A concept by Flux Laboratory Flux box : concept Flux box : concept What is Flux

Flux Box Flux Box A concept by Flux Laboratory Flux box : concept Flux box : concept What is Flux

Flux Box Flux Box A concept by Flux Laboratory Flux box : concept Flux box : concept What is Flux Laboratory? ! ! The Flux Box holds the archives of many years of Flux creations and Flux Laboratory is a pluridisciplinary space, based in both

262 views • 11 slides
Flux Correction of the Land Surface Temperature in the UM Model Chen Li, Dietmar Dommenget What

Flux Correction of the Land Surface Temperature in the UM Model Chen Li, Dietmar Dommenget What

Flux Correction of the Land Surface Temperature in the UM Model Chen Li, Dietmar Dommenget What is Flux Correction? Coupled with Fully coupled Uncoupled flux correction Pros: Fast, cheap and easy to apply; Mean state bias can be significant

499 views • 19 slides
Surface imaging of flux-closure domains in thick micron-size self-assembled dots: a combined

Surface imaging of flux-closure domains in thick micron-size self-assembled dots: a combined

Surface imaging of flux-closure domains in thick micron-size self-assembled dots: a combined LEEM/XMCD-PEEM study O.Fruchart Laboratoire Louis Nel (CNRS-UJF-INPG) Grenoble Laboratoire Louis N Louis N el, Grenoble el, Grenoble, France

285 views • 25 slides
FluXOR: Detecting and Monitoring Fast-flux Service Networks Emanuele Passerini , Roberto Paleari,

FluXOR: Detecting and Monitoring Fast-flux Service Networks Emanuele Passerini , Roberto Paleari,

Universit` a degli Studi di Milano Facolt` a di Scienze Matematiche, Fisiche e Naturali Dipartimento di Informatica e Comunicazione FluXOR: Detecting and Monitoring Fast-flux Service Networks Emanuele Passerini , Roberto Paleari, Lorenzo

741 views • 35 slides
Detection and Mitigation of Fast-Flux Service Networks Thorsten Holz, Christian Gorecki, Felix

Detection and Mitigation of Fast-Flux Service Networks Thorsten Holz, Christian Gorecki, Felix

Detection and Mitigation of Fast-Flux Service Networks Thorsten Holz, Christian Gorecki, Felix Freiling, Konrad Rieck Pi1 - Laboratory for Dependable Distributed Systems Motivation Yesterday: presentation by Dagon Corrupt DNS

634 views • 42 slides
Test of thin Ultra-Fast Silicon Detectors (UFSD) for monitoring of high flux charged particle

Test of thin Ultra-Fast Silicon Detectors (UFSD) for monitoring of high flux charged particle

Test of thin Ultra-Fast Silicon Detectors (UFSD) for monitoring of high flux charged particle beams V.Monaco (Universit di Torino and INFN, Italy) Z.Amadi, R.Arcidiacono, A.Attili, N.Cartiglia, M.Donetti, F.Fausti, M.Ferrero, S.Giordanengo, O.

559 views • 25 slides
DNS Requirements Large domain registrar A few hundred thousand domains using our DNS.

DNS Requirements Large domain registrar A few hundred thousand domains using our DNS.

Scaling DNS Requirements Large domain registrar A few hundred thousand domains using our DNS. Nearly a million domains Still growing Need fast updates on the authoritative servers Especially when a new domain is added

557 views • 21 slides
An#proton Flux and An#proton-to-Proton Flux Ra#o in

An#proton Flux and An#proton-to-Proton Flux Ra#o in

An#proton Flux and An#proton-to-Proton Flux Ra#o in Primary Cosmic Rays Measured with the AMS on ISS Weiwei Xu / MIT 35 th ICRC,

847 views • 22 slides
THE ORBITSPHERE - LATITUDINAL FLUX (also could be called azimuthal flux ) As further

THE ORBITSPHERE - LATITUDINAL FLUX (also could be called azimuthal flux ) As further

THE ORBITSPHERE - LATITUDINAL FLUX (also could be called azimuthal flux ) As further exploration of the intricacies of the motions of charged sub- elements of the Orbitsphere, we here discuss the Latitudinal Flux of the Orbitsphere - that

188 views • 14 slides
High-Performance Computing at the University of Michigan: CIRRUS Flux Andrew Caird

High-Performance Computing at the University of Michigan: CIRRUS Flux Andrew Caird

CIRRUS Flux: The Idea Flux: Summary High-Performance Computing at the University of Michigan: CIRRUS Flux Andrew Caird acaird@umich.edu 29 November 2011 CIRRUS Flux: The Idea Flux: Summary CIRRUS: Flux CIRRUS is a coordination of U-M

148 views • 13 slides
#8: Flux and Gauss Law Flux (in physics) refers to the product of a field crossing an area

#8: Flux and Gauss Law Flux (in physics) refers to the product of a field crossing an area

23.1-23.3 #8: Flux and Gauss Law Flux (in physics) refers to the product of a field crossing an area Consider air flowing through a window (volume flux) = vA cos If we define an area vector, where the magnitude is equal to the area of

392 views • 9 slides
Domains of Warfare Space Sp ace Cybe Cy ber- Air ir Sp Space ace Five Fi Domains of

Domains of Warfare Space Sp ace Cybe Cy ber- Air ir Sp Space ace Five Fi Domains of

Domains of Warfare Space Sp ace Cybe Cy ber- Air ir Sp Space ace Five Fi Domains of Doma of Warfar are Lan and Se Sea Joint M ultinational Combined Arms Live-Fire Exercise Camp Grayling-Alpena CRTC 2010-2018 NORTHERN

310 views • 4 slides
The spectra of (closed) confining flux tubes in D=3+1 and D=2+1 SU(N) gauge theories Michael Teper

The spectra of (closed) confining flux tubes in D=3+1 and D=2+1 SU(N) gauge theories Michael Teper

The spectra of (closed) confining flux tubes in D=3+1 and D=2+1 SU(N) gauge theories Michael Teper (Oxford) - Lattice 2016 D=2+1, fundamental flux D=2+1, higher rep flux D=3+1, fundamental flux 1 calculate the energy spectrum of a

409 views • 24 slides
What is a flux? Phil Roe The Things We Does Know Finite Volume methods (and others) (are based

What is a flux? Phil Roe The Things We Does Know Finite Volume methods (and others) (are based

What is a flux? Phil Roe The Things We Does Know Finite Volume methods (and others) (are based on ensuring conservation by computing the flux through the surfaces of a polyhedral box. Either the normal component of the flux is evaluated at the

592 views • 14 slides
Bi-Continuous Domains and Some Old Problems in Domain Theory Talk at Domains IX Klaus Keimel

Bi-Continuous Domains and Some Old Problems in Domain Theory Talk at Domains IX Klaus Keimel

Bi-Continuous Domains and Some Old Problems in Domain Theory Talk at Domains IX Klaus Keimel October 21, 2008 Warning: These Notes contain the contents of my Talk at Domains IX. There may be mistakes. References are incomplete. Comments are

142 views • 11 slides
Specification and Use of a Flux Concentrator Mr. Robert Ruffini President Confidential Property

Specification and Use of a Flux Concentrator Mr. Robert Ruffini President Confidential Property

Specification and Use of a Flux Concentrator Mr. Robert Ruffini President Confidential Property of Fluxtrol Inc. 1 Overview Basics of Magnetic Flux Control Effect of Flux Controllers on Different Coil Styles Materials for Magnetic

544 views • 40 slides
What are Geoneutrinos? electron an*-neutrinos from Geoneutrino flux

What are Geoneutrinos? electron an*-neutrinos from Geoneutrino flux

What are Geoneutrinos? electron an*-neutrinos from Geoneutrino flux the Earth, products of - typical flux 6 * 10 6 cm -2 s -1 natural radioac*vity Force carriers Quarks

603 views • 21 slides
Topic 7: Flux and remote sensing, merging data products, future directions 1. Databases

Topic 7: Flux and remote sensing, merging data products, future directions 1. Databases

Topic 7: Flux and remote sensing, merging data products, future directions 1. Databases (new-generation flux maps) (1) Make them available (online or offline) (2) Self-explanatory file format (e.g., NetCDF) (3) Gridded Flux Subsets? (similar to

425 views • 15 slides
Flux Power Holdings, Inc OTCQB: FLUX Leading the Charge in New Battery Technology Adoption

Flux Power Holdings, Inc OTCQB: FLUX Leading the Charge in New Battery Technology Adoption

Flux Power Holdings, Inc OTCQB: FLUX Leading the Charge in New Battery Technology Adoption in $10B Forklift Market Investor Presentation December 2018 www.fluxpwr.com Safe Harbor Language Forward Looking Statements: This presentation

216 views • 20 slides
23. The flux The flux of a vector field F across a curve C is F n d s, C

23. The flux The flux of a vector field F across a curve C is F n d s, C

23. The flux The flux of a vector field F across a curve C is F n d s, C where n is the unit normal vector to the curve C , obtained from the unit tangent vector T by rotating this vector through / 2 clockwise. This

300 views • 3 slides
Alexander Radovic Neutrino Flux Determination 1 Proton Interactions and Neutrino Flux

Alexander Radovic Neutrino Flux Determination 1 Proton Interactions and Neutrino Flux

Alexander Radovic Neutrino Flux Determination 1 Proton Interactions and Neutrino Flux Determination Alexander Radovic College of William and Mary Alexander Radovic Neutrino Flux Determination 2 Wideband Beams QCD: Protons impinge on a

626 views • 37 slides
Pulverized-coal Reactor using Infrared Heat Flux, Total Heat Flux and Measured Heat Loss Teri

Pulverized-coal Reactor using Infrared Heat Flux, Total Heat Flux and Measured Heat Loss Teri

Thermal Characterization of a 1.5 MW Pulverized-coal Reactor using Infrared Heat Flux, Total Heat Flux and Measured Heat Loss Teri Draper, Andrew Fry, Lauren Kolczynski, Terry Ring and Eric Eddings Department of Chemical Engineering and

465 views • 17 slides

More recommend