STOP勒索变种采用双重Fast Flux技术逃避检测

Fast Flux是一种基于域名系统的逃避技术，网络罪犯使用该技术将恶意软件通信域名隐藏在不断变化的受感染主机网络后面，这些主机充当攻击者源服务器的反向代理，这样可以提高C&C服务器的健壮性。

攻击者通过快速更改与该域名关联的DNS记录，将多个IP地址与一个域名相关联，并为每个IP设置非常短的“生存”时间（TTL），在注册和使用一个IP地址几分钟或几秒钟后，就会取消注册并替换为一个新的IP地址。如下图所示，这里显示了与恶意域名关联的多个IP地址的示例，每个IP地址只“存活”几分钟：

上述是一个“Single-flux”例子，相对而言更先进的技术是“Double-flux”，即不仅不断更改域名关联的IP，同时建立另一个Fast Flux来隐藏名称服务器的地址。Fast Flux网络的主要特征就是不断更改其域名、IP地址和名称服务器，这些变化快速改变了网络的关联关系，隐藏了背后的恶意源服务器，使其更难理解和防御。从本质上讲，Fast Flux将恶意域名变成了一个“移动”的目标。

近期深信服深瞻情报实验室捕获的STOP勒索变种（加密后缀.qqjj）使用了Fast Flux技术，同时进一步发现其背后团伙使用的其他规避技术，以及未启用的域名和关联的窃密恶意软件等。

STOP勒索病毒家族在国内主要通过软件捆绑，垃圾邮件等方式进行传播，此次捕获的STOP病毒变种类似于其他勒索软件一样，该病毒会加密所有流行的文件类型，并添加特定的“.qqjj”扩展名。如下是要求付款的_readme.txt文件：

STOP勒索家族C2域名的更新

STOP勒索家族NS服务器解析记录更新

为了了解该病毒背后攻击团伙对Fast Flux的使用，我们创建了如下所示的网络图，该图体现了域名（红色）、IP地址（蓝色）、名称服务器（绿色）之间的关系。可以看到恶意软件使用的IP池与名称服务器的IP池有明显的区分，另外，越靠近中心的IP解析次数越多（被用于Fast Flux的次数越多），这也表明这些IP对应的服务器被该团伙控制时间越长。如下展现了近期攻击团伙使用相关域、IP地址和名称服务器之间的相互关系：

此外，进一步分析还发现STOP勒索病毒攻击团伙的其他信息：

（1）不仅使用Fast Flux，同时结合DGA（Domain generation algorithms）等技术来进一步强化检测逃避能力；

（2）使用多种窃密木马配合勒索病毒进行多重勒索，例如Azorult、ArkeiStealer和RedLine等，使用的通信域名同样采用Fast Flux技术；

（3）使用Fast Flux网络进行非法市场网站托管，进行非法兜售窃取的信用卡，用户账号信息等。

在本文中，STOP勒索病毒背后的黑产团伙利用Fast Flux网络用于开展各类恶意行为，例如恶意软件托管、C2通信、钓鱼网站和地下黑市网站。如果只进行基于恶意证据的收集，几乎无法有效跟踪这个网络的演变，Fast Flux网络随时会产生变化。因此，监视和拦截此类Fast Flux网络的能力至关重要。

另外，Fast Flux网络的应用也表明勒索病毒团伙在不断改变技战术、攻击手法，未来几年勒索攻击仍然会一直流行，此类网络犯罪的复杂性和创新水平不断提高，勒索病毒攻击未来仍然将会是全球最大的网络威胁。

【深信服终端安全管理系统EDR】已支持查杀拦截此次事件使用的病毒文件，请更新软件（如有定制请先咨询售后再更新版本）和病毒库至最新版本，设置相应的防护策略，获取全方位的勒索防护。

1、事前防御：通过暴力破解检测、远程登录认证、漏洞扫描修复、实时防护等策略为终端进行日常加固，降低勒索入侵风险；

2、事中响应：文件加白二次认证、勒索诱饵防护、AI人工智能引擎检测等对勒索威胁文件进行高效检出，勒索病毒难以落地，无法加密；

3、事后溯源：高级威胁可视化还原入侵攻击链，排查企业内网存在风险点，全网威胁狩猎潜伏攻击，扫清内网威胁。

【深信服下一代防火墙AF】的安全防护规则更新至最新版本，接入深信服云平台，“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库，接入云图，并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标，通过将用户安全设备接入安全运营中心，依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式，围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务，快速扩展持续有效的安全运营能力，保障可承诺的风险管控效果。