Las agencias de ciberseguridad de Australia, Canadá, Nueva Zelanda y Estados Unidos han publicado un aviso conjunto sobre los riesgos asociados con una técnica citación Fast Flux que ha sido adoptada por los actores de amenaza para oscurecer un canal de comando y control (C2).
“‘Fast Flux’ es una técnica utilizada para ofuscar las ubicaciones de los servidores maliciosos a través de registros del sistema de nombres de dominio (DNS) que cambian rápidamente (DNS) asociados con un solo nombre de dominio”, dijeron las agencias. “Esta amenaza explota una brecha que se encuentra comúnmente en las defensas de la red, lo que dificulta el seguimiento y el asedio de actividades de flujo rápido ladino”.
El aviso es cortesía de la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA), Agencia de Seguridad Franquista (NSA), la Oficina Federal de Investigación (FBI), el Centro de Seguridad Cibernética Australiana de las señales de Australia, el Centro Canadiense de Seguridad Cibernética y el Centro Franquista de Seguridad Cibernética de Nueva Zelanda.
El flujo rápido ha sido prohijado por muchos grupos de piratería en los últimos abriles, incluidos los actores de amenazas vinculados a Gamaredon, Cryptochameleon y Raspberry Robin en un esfuerzo por hacer que su infraestructura maliciosa evite la detección y los derribos de la aplicación de la ley.
El enfoque esencialmente implica usar una variedad de direcciones IP y girarlas en rápida sucesión, al tiempo que apunta a un dominio ladino. Se detectó por primera vez en la naturaleza en 2007 como parte del esquema Honeynet.
Puede ser un solo flujo, donde un solo nombre de dominio está vinculado a numerosas direcciones IP, o doble flujo, donde, encima de cambiar las direcciones IP, los servidores de nombres DNS responsables de resolver el dominio igualmente cambian con frecuencia, ofreciendo una capa adicional de exceso y anonimato para los dominios rebeldes.
“Una red de flujo rápido es ‘rápida’ porque, al usar DNS, expedición rápidamente a través de muchos bots, utilizando cada uno por poco tiempo para dificultar los esfuerzos de denylisting y derribos basados en IP”, dijo Palo Detención Networks Unit 42 en un documentación publicado en 2021.
Al describir el flujo rápido como una amenaza de seguridad doméstico, las agencias dijeron que los actores de amenaza están utilizando la técnica para ofuscar las ubicaciones de los servidores maliciosos, así como establecer una infraestructura C2 resistente que pueda resistir los esfuerzos de aniquilación.
Eso no es todo. Fast Flux juega un papel imprescindible más allá de las comunicaciones C2 para ayudar a los adversarios a organizar sitios web de phishing, así como en el tablado y distribuir malware.
Para sostener el flujo rápido, las organizaciones se recomiendan rodear direcciones IP, dominios maliciosos del sumidero, filtrar el tráfico con destino a y desde dominios o direcciones IP con mala reputación, implementar un monitoreo mejorado y hacer cumplir la conciencia y la capacitación de phishing.
“El flujo rápido representa una amenaza persistente para la seguridad de la red, aprovechando la infraestructura que cambia rápidamente para ofuscar la actividad maliciosa”, dijeron las agencias. “Al implementar estrategias de detección y mitigación sólidas, las organizaciones pueden sujetar significativamente su peligro de compromiso por amenazas rápidas con flujo”.
