HackerNews 编译,转载请注明出处:
澳大利亚、加拿大、新西兰和美国的网络安全机构联合发布了一份关于Fast Flux技术风险的咨询报告,该技术已被威胁行为者采用,以掩盖命令与控制(C2)通道的位置。
“Fast Flux是一种通过快速更改与单个域名相关的域名系统(DNS)记录来掩盖恶意服务器位置的技术,”这些机构表示。“这种威胁利用了网络防御中常见的漏洞,使得追踪和阻止恶意Fast Flux活动变得困难。”
这份咨询报告由美国网络安全与基础设施安全局(CISA)、国家安全局(NSA)、联邦调查局(FBI)、澳大利亚信号局的澳大利亚网络安全中心、加拿大网络安全中心以及新西兰国家网络安全中心联合发布。
近年来,Fast Flux技术已被许多黑客组织采用,包括与 Gamaredon、CryptoChameleon 和 Raspberry Robin 相关的威胁行为者,以使其恶意基础设施能够逃避检测和执法部门的打击。
这种方法本质上涉及使用多种 IP 地址,并在快速 succession 中轮换,同时指向一个恶意域名。它最初于 2007 年在 Honeynet 项目中被发现。
它可以是单通量(Single Flux),即一个域名与多个 IP 地址相关联,也可以是双通量(Double Flux),即除了更改 IP 地址外,负责解析域名的 DNS 名称服务器也会频繁更改,为恶意域名提供额外的冗余和匿名性。
“Fast Flux网络之所以‘快速’,是因为通过 DNS,它会快速轮换多个僵尸程序,每个僵尸程序只使用很短的时间,从而使得基于 IP 的拒绝列表和打击工作变得困难,”Palo Alto Networks Unit 42 在 2021 年发布的一份报告中表示。
将Fast Flux描述为国家安全威胁,这些机构表示,威胁行为者正在利用这种技术来掩盖恶意服务器的位置,并建立能够抵御打击的弹性 C2 基础设施。
不仅如此,Fast Flux在 C2 通信之外也发挥着重要作用,帮助对手托管网络钓鱼网站,以及部署和分发恶意软件。
为了防范Fast Flux,建议组织采取以下措施:阻止 IP 地址、将恶意域名重定向到黑洞服务器、过滤与声誉不佳的域名或 IP 地址之间的流量、实施增强的监控,并强制执行网络钓鱼意识和培训。
“Fast Flux代表了对网络安全的持续威胁,利用快速变化的基础设施来掩盖恶意活动,”这些机构表示。“通过实施强大的检测和缓解策略,组织可以显著降低因Fast Flux支持的威胁而被攻破的风险。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
