Fast-Flux는 특정 도메인에 대량의 IP 주소를 제공하는 것을 가능하도록 하는 것을 이용한 기법이다. 악성코드 유포에서 이용된다. 한 마디로, 하나의 도메인에 많은 IP 주소가 연결되어 있는 경우이다.
Fast-Flux에서 TTL(Time-To-Live)는 3-5분 이내로 굉장히 짧게 구성되며 한 도메인에 대해 많은 IP 주소들이 라운드로빈 방식으로 빠르게 바뀌게 된다.
라운드 로빈 DNS는 도메인에 많은 IP를 붙인다는 것에서 추측할 수 있듯이 네트워크 부하 분산과 네트워크 밸런싱에 사용되는 기술이다. 각기 다른 사용자가 동일 도메인에 한번에 접속해있는 느낌을 받게 해주면서 같은 도메인에 대해 각기 다른 서버에서 전달되는 reply를 받을 수 있도록 해주는 것이다.
예를 들게되면, 첫번째 사용자가 naver에 request를 전송하면 먼저 naver_server1에서 reply를 받게되지만 몇 초 후 사용자 2가 naver에 request를 전송하게되면 naver_server1이 아닌 naver_server2에서 reply를 받게되는 방식이다. 매 호스트는 reply를 전송하고 나서 우선순위 가장 하단으로 이동하는 방식이기 때문에 reply를 가장 적게 보낸 호스트가 우선순위 가장 상단에 위치게하되서 효율적이게 된다. 아래 그림은 Fast-Flux가 동작하는 방식이다.
동작 구조를 설명하자면, 먼저 클라이언트가 정상적이라고 생각되는 도메인에 HTTP 요청을 보낸다. 하지만 그 도메인은 Fast-Flux에 이용되는 bot이고 그 bot은 클라이언트가 접속한 도메인에서 리다이렉트를 통해 마더쉽 서버로 연결하게된다. 마더쉽 서버는 요청에 대해 응답을 bot에게 전달하고 bot은 전달받은 응답을 다시 클라이언트에게 전달하게 되는 방식이다.
Fast-Flux가 악성코드 유포에 이용되는 이유는 클라이언트가 접속한 도메인과 요청을 보낸 대상은 이미 해커에게 감염된 봇넷 중 하나의 봇이기 때문에 실제 유포자인 마더쉽을 찾기가 굉장히 어려워지기 때문이다. 봇넷이 리다이렉션하는 부분을 갈취해 보면 되지 않을까 하는 생각이 들 수 있지만 봇넷이 해당 국가가 아니라 다른 국가에 위치하게 되면 봇넷 자체에 대해 장악하기도 쉽지 않기 때문이다.
-Reference
이스트시큐리티, https://blog.alyac.co.kr/1265
'Analysis' 카테고리의 다른 글
| 11. Lazarus's Movie Coin (0) | 2019.08.22 |
|---|---|
| 10. APT 관련 사이트 (0) | 2019.08.05 |
| 08. Clop (0) | 2019.06.03 |
| 07. 도메인 쉐도잉 (0) | 2019.05.30 |
| 06. LokiBot (0) | 2019.05.30 |
