تحذير CISA و FBI Fast Flux يعمل على تشغيل برامج ضارة مرنة ، C2 ، وشبكات التصيد
نشرت وكالات الأمن السيبراني من أستراليا وكندا ونيوزيلندا والولايات المتحدة استشارية مشتركة حول المخاطر المرتبطة بتقنية تسمى تدفق سريع تم تبني ذلك من قبل الجهات الفاعلة التهديد لإخفاء قناة القيادة والسيطرة (C2).
“” Fast Flux “هي تقنية تستخدم لتشويه مواقع الخوادم الضارة من خلال سجلات نظام اسم المجال السريع (DNS) المرتبطة باسم مجال واحد ،” الوكالات قال. “يستغل هذا التهديد فجوة شائعة في دفاعات الشبكة ، مما يجعل تتبع أنشطة التدفق السريع الضار صعبة.”
ويأتي هذا الاستشارية بإذن من وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) ، وكالة الأمن القومي (NSA) ، ومكتب التحقيقات الفيدرالي (FBI) ، والمركز الأسترالي الأسترالي للأمن السيبراني ، والمركز الكندي للأمن السيبراني ، والمركز الوطني للأمن السيبراني النيوزيلندي.
تم تبني Fast Flux من قبل العديد من مجموعة القرصنة في السنوات الأخيرة ، بما في ذلك الجهات الفاعلة للتهديدات المرتبطة بـ Gamaredon و Cryptochameleon و Raspberry Robin في محاولة لجعل تكافؤهم الخبيث في الكشف عن بنية التحتية وإنفاذ القانون.
ال يقترب يستلزم بشكل أساسي استخدام مجموعة متنوعة من عناوين IP وتدويرها في تتابع سريع ، مع الإشارة إلى مجال واحد ضار. تم اكتشافه لأول مرة في البرية في عام 2007 كجزء من مشروع Honeynet.
يمكن أن يكون إما تدفقًا واحدًا ، حيث يرتبط اسم مجال واحد بالعديد من عناوين IP ، أو تدفق مزدوج ، حيث يتم تغيير خوادم أسماء DNS المسؤولة عن حل المجال ، بالإضافة إلى تغيير عناوين IP ، بشكل متكرر ، إلى طبقة إضافية من التكرار وإخفاء الهوية للمجالات المارقة.
“إن شبكة التدفق السريع” سريع “لأنه ، باستخدام DNS ، تدور بسرعة من خلال العديد من الروبوتات ، باستخدام كل واحدة لفترة قصيرة فقط لجعل جهود Denylisting و Deledown التي تعتمد على IP صعبة ،” Palo Alto Networks Unit 42 قال في تقرير نشر في عام 2021.
واصفا التدفق السريع على أنه تهديد للأمن القومي ، قالت الوكالات إن الجهات الفاعلة في التهديد تستخدم هذه التقنية لتلقي مواقع الخوادم الضارة ، وكذلك إنشاء البنية التحتية C2 المرنة التي يمكنها تحمل جهود الإزاحة.
هذا ليس كل شيء. يلعب Fast Flux دورًا حيويًا يتجاوز اتصالات C2 للمساعدة أيضًا في مساعدة الخصوم على مواقع الاستضافة للتصيد ، وكذلك المسرح وتوزيع البرامج الضارة.
للتأمين ضد التدفق السريع ، يوصى بالمؤسسات لحظر عناوين IP ، والمجالات الخبيثة بالوعة ، وتصفية حركة المرور من وإلى المجالات أو عناوين IP بسمعة سيئة ، وتنفيذ المراقبة المعززة ، وفرض الوعي والتدريب على التصيد.
وقالت الوكالات: “يمثل Fast Flux تهديدًا مستمرًا لأمن الشبكة ، والاستفادة من البنية التحتية المتغيرة بسرعة لتنشيط النشاط الخبيث”. “من خلال تنفيذ استراتيجيات قوية للكشف والتخفيف ، يمكن للمؤسسات أن تقلل بشكل كبير من خطر التسوية من خلال التهديدات السريعة التي تدعم التدفق.”
إرسال التعليق