Avertismentul CISA referitor la tehnica de evaziune Fast Flux DNS utilizată de grupurile de criminalitate cibernetică

CISA, FBI, NSA și agențiile internaționale de securitate cibernetică îndeamnă organizațiile și furnizorii de DNS să atenueze tehnica de evaziune cibernetică „Fast Flux” utilizată de actorii de amenințare sponsorizați de stat și de grupurile de ransomware.

Deși tehnica nu este nouă, eficacitatea sa a fost documentată și dovedită în mod repetat în atacurile cibernetice reale.

Fast Flux este o tehnică DNS folosită pentru a evita detectarea și pentru a menține o infrastructură rezistentă folosită pentru comandă și control (C2), phishing și livrarea de malware.

Implică schimbări rapide ale înregistrărilor DNS (adrese IP și/sau servere de nume), ceea ce face dificilă urmărirea sursei activității malitioase și blocarea acesteia.

Este adesea alimentat de botneturi formate din rețele mari de sisteme compromise care acționează ca proxy-uri sau releuri pentru a facilita aceste schimbări rapide.

Buletinul CISA evidențiază două tipuri principale ale tehnicii, și anume Single Flux și Double Flux.

Când folosesc Single Flux, atacatorii vor rota frecvent adresele IP asociate cu un nume de domeniu în răspunsurile DNS.

Cu Double Flux, în plus față de rotația IP-urilor pentru domeniu, serverele de nume DNS însele se schimbă rapid, adăugând un strat suplimentar de obfuscare pentru a face eforturile de desființare chiar mai dificile.

CISA spune că Fast Flux este larg utilizat de actorii de amenințare de toate nivelurile, de la infractori cibernetici de nivel scăzut la actori de stat extrem de sofisticați.

Agenția evidențiază cazurile Gamaredon, ransomware Hive, ransomware Nefilim și furnizorii de servicii de găzduire rezistentă la atacuri, toți folosind Fast Flux pentru a evita eforturile de aplicare a legii și de desființare care ar perturba operațiunile lor.

CISA a enumerat mai multe măsuri pentru a ajuta la detectarea și oprirea Fast Flux și la atenuarea activității facilitată de tehnica de evaziune.

Tehnicile propuse de detectare sunt rezumate astfel:

Pentru atenuare, CISA recomandă utilizarea listelor de blocare DNS/IP și a regulilor de firewall pentru a bloca accesul la infrastructura Fast Flux și, acolo unde este posibil, a deriva traficul către serverele interne pentru analize suplimentare.

Utilizarea scorului reputațional pentru blocarea traficului, implementarea jurnalizării centralizate și a alertelor în timp real pentru anomalii DNS și participarea la rețelele de partajare a informațiilor sunt, de asemenea, încurajate.