Fast Flux
Was ist Fast Flux?
Fast FluxDNS-Technik von Botnetzen, die die hinter einer boesartigen Domain liegenden IP-Adressen schnell ueber viele kompromittierte Hosts rotiert, um Takedowns und Blocking zu erschweren.
Fast Flux ist eine Resilienz-Technik krimineller Netzwerke, um boesartige Inhalte erreichbar zu halten. Der Angreifer setzt der Domain eine sehr kurze TTL und rotiert ihre A-Records alle paar Minuten ueber einen Pool kompromittierter Geraete, meist Heimrouter oder IoT-Bots. Single-Flux veraendert nur die Frontend-IPs; Double-Flux rotiert zusaetzlich die autoritativen Nameserver und macht Takedowns noch schwerer. Storm Worm, Avalanche und viele Phishing-Kits haben Fast Flux fuer C2 oder Credential-Harvesting genutzt. Schutz: passive DNS-Analyse, RPZ-Feeds gegen fluxing-FQDNs, Monitoring auffaellig kurzer TTLs sowie Takedown-Koordination auf Registry-Ebene durch CISA, EU-Strafverfolgung und ISPs.
● Beispiele
- 01
Das Storm-Worm-Botnetz rotierte tausende kompromittierte Heim-PCs, um seine Malware-Download-Domain auszuliefern.
- 02
Das Avalanche-Netzwerk nutzte Double-Flux, um Phishing- und Banking-Trojaner-Verteilung bis zum Takedown 2016 zu verbergen.
● Häufige Fragen
Was ist Fast Flux?
DNS-Technik von Botnetzen, die die hinter einer boesartigen Domain liegenden IP-Adressen schnell ueber viele kompromittierte Hosts rotiert, um Takedowns und Blocking zu erschweren. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Fast Flux?
DNS-Technik von Botnetzen, die die hinter einer boesartigen Domain liegenden IP-Adressen schnell ueber viele kompromittierte Hosts rotiert, um Takedowns und Blocking zu erschweren.
Wie funktioniert Fast Flux?
Fast Flux ist eine Resilienz-Technik krimineller Netzwerke, um boesartige Inhalte erreichbar zu halten. Der Angreifer setzt der Domain eine sehr kurze TTL und rotiert ihre A-Records alle paar Minuten ueber einen Pool kompromittierter Geraete, meist Heimrouter oder IoT-Bots. Single-Flux veraendert nur die Frontend-IPs; Double-Flux rotiert zusaetzlich die autoritativen Nameserver und macht Takedowns noch schwerer. Storm Worm, Avalanche und viele Phishing-Kits haben Fast Flux fuer C2 oder Credential-Harvesting genutzt. Schutz: passive DNS-Analyse, RPZ-Feeds gegen fluxing-FQDNs, Monitoring auffaellig kurzer TTLs sowie Takedown-Koordination auf Registry-Ebene durch CISA, EU-Strafverfolgung und ISPs.
Wie schützt man sich gegen Fast Flux?
Schutzmaßnahmen gegen Fast Flux kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Fast Flux?
Übliche alternative Bezeichnungen: Single-Flux, Double-Flux.
● Verwandte Begriffe
- attacks№ 350
Domain Shadowing
Angriff, bei dem ein Kriminelle den Registrar-Account eines legitimen Domaininhabers kompromittiert und unbemerkt boesartige Subdomains unter der vertrauenswuerdigen Hauptdomain anlegt.
- attacks№ 348
Domain Generation Algorithm (DGA)
Von Malware verwendeter Algorithmus, der deterministisch grosse Mengen moeglicher Domainnamen erzeugt, damit infizierte Hosts ihren Command-and-Control-Server finden koennen.
- malware№ 119
Botnetz
Netz aus mit Malware infizierten, internetverbundenen Geräten, die ein Angreifer fernsteuert, um koordinierte Aktivitäten auszuführen.
- malware№ 201
Command and Control (C2)
Infrastruktur und Kanäle, mit denen Angreifer die Kommunikation zu kompromittierten Systemen aufrechterhalten und ihnen Befehle senden.
- network-security№ 344
DNS-Tunneling
Verdeckter Kanal, der beliebige Daten in DNS-Abfragen und -Antworten auf UDP/TCP-Port 53 kodiert und haufig fur Command-and-Control sowie Datenexfiltration genutzt wird.