Fast flux
¿Qué es Fast flux?
Fast fluxTecnica de DNS de botnets que rota rapidamente las direcciones IP detras de un dominio malicioso entre muchos equipos comprometidos para resistir bloqueos y takedowns.
Fast flux es una tecnica de resiliencia que usan las redes criminales para mantener accesible su contenido malicioso. El atacante asigna al dominio un TTL muy bajo y rota sus registros A entre un pool de dispositivos comprometidos, a menudo routers domesticos o bots de IoT, cada pocos minutos. Single-flux solo cambia las IPs frontales; double-flux ademas rota los servidores de nombres autoritativos, dificultando aun mas las acciones. Storm Worm, Avalanche y muchos kits de phishing lo usaron para alojar C2 o paginas de captura de credenciales. La defensa combina analisis pasivo de DNS, feeds RPZ que bloquean FQDN en flux, monitorizar TTLs anormalmente bajos y coordinacion de takedowns a nivel de registro (CISA, fuerzas policiales europeas, ISPs).
● Ejemplos
- 01
La botnet Storm Worm rotaba miles de PCs domesticos comprometidos para servir su dominio de descarga de malware.
- 02
La red Avalanche uso double-flux para proteger la distribucion de phishing y troyanos bancarios antes de su desmantelamiento en 2016.
● Preguntas frecuentes
¿Qué es Fast flux?
Tecnica de DNS de botnets que rota rapidamente las direcciones IP detras de un dominio malicioso entre muchos equipos comprometidos para resistir bloqueos y takedowns. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Fast flux?
Tecnica de DNS de botnets que rota rapidamente las direcciones IP detras de un dominio malicioso entre muchos equipos comprometidos para resistir bloqueos y takedowns.
¿Cómo funciona Fast flux?
Fast flux es una tecnica de resiliencia que usan las redes criminales para mantener accesible su contenido malicioso. El atacante asigna al dominio un TTL muy bajo y rota sus registros A entre un pool de dispositivos comprometidos, a menudo routers domesticos o bots de IoT, cada pocos minutos. Single-flux solo cambia las IPs frontales; double-flux ademas rota los servidores de nombres autoritativos, dificultando aun mas las acciones. Storm Worm, Avalanche y muchos kits de phishing lo usaron para alojar C2 o paginas de captura de credenciales. La defensa combina analisis pasivo de DNS, feeds RPZ que bloquean FQDN en flux, monitorizar TTLs anormalmente bajos y coordinacion de takedowns a nivel de registro (CISA, fuerzas policiales europeas, ISPs).
¿Cómo defenderse de Fast flux?
Las defensas contra Fast flux combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Fast flux?
Nombres alternativos comunes: Single-flux, Double-flux.
● Términos relacionados
- attacks№ 350
Domain shadowing
Ataque en el que un delincuente compromete la cuenta del registrador de un dominio legitimo y crea silenciosamente subdominios maliciosos bajo el dominio padre de confianza.
- attacks№ 348
Algoritmo de generacion de dominios (DGA)
Algoritmo usado por malware para generar deterministicamente grandes cantidades de nombres de dominio candidatos para que los equipos infectados encuentren su C2.
- malware№ 119
Botnet
Red de dispositivos conectados a Internet infectados por malware y controlados remotamente por un atacante para ejecutar acciones coordinadas.
- malware№ 201
Mando y control (C2)
Infraestructura y canales que los atacantes usan para mantener comunicación con los sistemas comprometidos y enviarles instrucciones.
- network-security№ 344
Tunelización DNS
Canal encubierto que codifica datos arbitrarios dentro de consultas y respuestas DNS en UDP/TCP 53, muy utilizado para C2 y exfiltración de datos.