Le agenzie di sicurezza informatica da Australia, Canada, Nuova Zelanda e Stati Uniti hanno pubblicato una consulenza congiunta sui rischi associati a una tecnica chiamata Flusso rapido Ciò è stato adottato dagli attori delle minacce per oscurare un canale di comando e controllo (C2).
“‘Quick Flux’ è una tecnica utilizzata per offuscare le posizioni dei server dannosi attraverso i report del sistema di nomi di dominio in rapida evoluzione (DNS) associati a un singolo nome di dominio”, le agenzie disse. “Questa minaccia sfrutta un divario comunemente trovato nelle difese della rete, rendendo difficile il monitoraggio e il blocco delle attività di flusso rapido dannoso.”
La consulenza arriva per la cortesia della US Cybersecurity and Infrastructure Safety Company (CISA), Nationwide Safety Company (NSA), Federal Bureau of Investigation (FBI), Australian Segnals Directorate Cyber Safety Heart, Canadian Heart for Cyber Safety e Nationwide Cyber Safety.
Il flusso veloce è stato abbracciato da molti gruppi di hacking negli ultimi anni, compresi gli attori delle minacce legati Gamaredon, CryptochameleonE Raspberry Robin Nel tentativo di rendere le loro infrastrutture dannose sfuggono il rilevamento e le forze dell’ordine.
IL approccio Essenzialmente implica l’uso di una varietà di indirizzi IP e la rotazione in rapida successione, mentre indica un dominio dannoso. È stato rilevato per la prima volta in natura nel 2007 come parte del progetto Honeynet.
Può essere un singolo flusso, in cui un singolo nome di dominio è collegato a numerosi indirizzi IP, o doppio flusso, in cui oltre a cambiare gli indirizzi IP, anche i server dei nomi DNS responsabili della risoluzione del dominio vengono cambiati frequentemente, offrendo un ulteriore livello di ridondanza e anonimato per i domini di Rogue.
“Una rete di flusso rapido è” veloce “perché, usando DNS, ruota rapidamente attraverso molti robotic, usando ciascuno solo per un breve periodo per rendere difficile gli sforzi denylisting e takedown basati su IP”, Palo Alto Networks Unit 42 disse In un rapporto pubblicato nel 2021.
Descrivendo il flusso rapido come una minaccia per la sicurezza nazionale, le agenzie hanno affermato che gli attori delle minacce stanno usando la tecnica per offuscare le posizioni dei server dannosi, oltre a stabilire infrastrutture resilienti C2 in grado di resistere agli sforzi di abbattimento.
Non è tutto. Il flusso veloce svolge un ruolo vitale oltre le comunicazioni C2 per aiutare anche gli avversari advert ospitare siti Internet di phishing, nonché fase e distribuire malware.
Per garantire contro il flusso rapido, le organizzazioni sono consigliate per bloccare gli indirizzi IP, i domini malinconici, filtrare il traffico da e verso domini o indirizzi IP con scarsa reputazione, implementare il monitoraggio migliorato e far rispettare la consapevolezza e la formazione del phishing.
“Il flusso rapido rappresenta una minaccia persistente per la sicurezza della rete, sfruttando le infrastrutture in rapida evoluzione per offuscare l’attività dannosa”, hanno affermato le agenzie. “Implementando solide strategie di rilevamento e mitigazione, le organizzazioni possono ridurre significativamente il rischio di compromesso mediante minacce abilitate a flusso rapido”.
