Cybersecurity-agentschappen uit Australië, Canada, Nieuw-Zeeland en de Verenigde Staten hebben een gezamenlijk advies gepubliceerd over de risico’s die verband houden met een techniek genaamd Fast Flux die door bedreigingsactoren is aangenomen om een command-and-control (C2) kanaal te verdoezelen.
“‘Fast Flux’ is een techniek die wordt gebruikt om de locaties van kwaadaardige servers te verdoezelen door snel veranderende domeinnaam System (DNS) -records die zijn gekoppeld aan een enkele domeinnaam,” zeiden de agentschappen. “Deze dreiging maakt gebruik van een kloof die vaak wordt aangetroffen in netwerkverdedigingen, waardoor het volgen en blokkeren van kwaadaardige snelle fluxactiviteiten moeilijk is.”
Het advies komt met dank aan de Amerikaanse cybersecurity en infrastructuurbeveiligingsbureau (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), Australian Signals Directorate’s Australian Cyber Security Center, Canadian Centre for Cyber Security en Nieuw -Zeeland National Cyber Cyber Cyber Incentrum.
Snelle flux is de afgelopen jaren omarmd door menig hackgroep, waaronder dreigingsacteurs die gekoppeld zijn aan Gamaredon, Cryptochameleon en Raspberry Robin in een poging om hun kwaadaardige infrastructuur detectie en wetshandhaving te laten ontwijken.
De aanpak houdt in wezen in op het gebruik van een verscheidenheid aan IP -adressen en roteert deze snel achter elkaar, terwijl ze wijst op één kwaadaardig domein. Het werd voor het eerst gedetecteerd in het wild in 2007 als onderdeel van het Honeynet -project.
Het kan ofwel een enkele flux zijn, waarbij een enkele domeinnaam is gekoppeld aan tal van IP -adressen, of dubbele flux, waar naast het wijzigen van de IP -adressen, de DNS -naamservers die verantwoordelijk zijn voor het oplossen van het domein ook worden gewijzigd en een extra laag redundantie en anonimiteit voor de Rogue Domains worden aangeboden.
“Een snel fluxnetwerk is ‘snel’ omdat het met behulp van DNS snel door vele bots roteert en elk slechts een korte tijd gebruikt om op IP gebaseerde denylisting en verwijderingsinspanningen moeilijk te maken,” zei Palo Alto Networks Unit 42 in een rapport gepubliceerd in 2021.
De agentschappen beschrijven snelle flux als een nationale veiligheidsdreiging, zeiden dat bedreigingsactoren de techniek gebruiken om de locaties van kwaadaardige servers te verdoezelen, en veerkrachtige C2 -infrastructuur op te zetten die de inspanningen van een verwijdering kunnen weerstaan.
Dat is niet alles. Snelle flux speelt een essentiële rol die verder gaat dan C2 -communicatie om ook te helpen bij het helpen van tegenstanders, hosten op phishing -websites, evenals fase en distribueren malware.
Om zich te beveiligen tegen snelle flux, worden organisaties aanbevolen om IP -adressen te blokkeren, kwaadwillende domeinen te blokkeren, verkeer uit en naar domeinen of IP -adressen te filteren met een slechte reputatie, verbeterde monitoring implementeren en phishing -bewustzijn en training handhaven.
“Snelle flux vormt een aanhoudende bedreiging voor de netwerkbeveiliging, waardoor de snel veranderende infrastructuur wordt gebruikt om kwaadaardige activiteit te verdoezelen,” zeiden de agentschappen. “Door strategieën voor robuuste detectie en mitigatie-strategieën te implementeren, kunnen organisaties hun risico op compromis aanzienlijk verminderen door snelle dreigingen met flux.”
