Fast flux
Qu'est-ce que Fast flux ?
Fast fluxTechnique DNS de botnets qui fait tourner rapidement les adresses IP derriere un domaine malveillant entre de nombreuses machines compromises pour resister aux blocages et takedowns.
Le fast flux est une technique de resilience utilisee par les reseaux criminels pour maintenir leur contenu malveillant accessible. L'attaquant attribue au domaine un TTL tres faible et fait tourner ses enregistrements A dans un pool d'appareils compromis, souvent des box residentielles ou des bots IoT, toutes les quelques minutes. Le single-flux change seulement les IP de facade; le double-flux fait egalement tourner les serveurs de noms autoritatifs, rendant le takedown encore plus difficile. Storm Worm, Avalanche et de nombreux kits de phishing s'en sont servi pour heberger C2 ou pages de collecte d'identifiants. Defenses: analyse DNS passive, flux RPZ bloquant les FQDN en flux, surveillance des TTL anormalement bas, et coordination de takedowns au niveau registre (CISA, polices europeennes, FAI).
● Exemples
- 01
Le botnet Storm Worm faisait tourner des milliers de PC domestiques compromis pour servir son domaine de telechargement de malware.
- 02
Le reseau Avalanche utilisait du double-flux pour abriter la distribution de phishing et de chevaux de Troie bancaires avant son demantelement en 2016.
● Questions fréquentes
Qu'est-ce que Fast flux ?
Technique DNS de botnets qui fait tourner rapidement les adresses IP derriere un domaine malveillant entre de nombreuses machines compromises pour resister aux blocages et takedowns. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Fast flux ?
Technique DNS de botnets qui fait tourner rapidement les adresses IP derriere un domaine malveillant entre de nombreuses machines compromises pour resister aux blocages et takedowns.
Comment fonctionne Fast flux ?
Le fast flux est une technique de resilience utilisee par les reseaux criminels pour maintenir leur contenu malveillant accessible. L'attaquant attribue au domaine un TTL tres faible et fait tourner ses enregistrements A dans un pool d'appareils compromis, souvent des box residentielles ou des bots IoT, toutes les quelques minutes. Le single-flux change seulement les IP de facade; le double-flux fait egalement tourner les serveurs de noms autoritatifs, rendant le takedown encore plus difficile. Storm Worm, Avalanche et de nombreux kits de phishing s'en sont servi pour heberger C2 ou pages de collecte d'identifiants. Defenses: analyse DNS passive, flux RPZ bloquant les FQDN en flux, surveillance des TTL anormalement bas, et coordination de takedowns au niveau registre (CISA, polices europeennes, FAI).
Comment se défendre contre Fast flux ?
Les défenses contre Fast flux combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Fast flux ?
Noms alternatifs courants : Single-flux, Double-flux.
● Termes liés
- attacks№ 350
Domain shadowing
Attaque ou un criminel compromet le compte registrar du proprietaire d'un domaine legitime et cree discretement des sous-domaines malveillants sous ce domaine parent de confiance.
- attacks№ 348
Domain Generation Algorithm (DGA)
Algorithme utilise par un malware pour generer de maniere deterministe de grandes quantites de noms de domaine candidats afin que les hotes infectes retrouvent leur serveur C2.
- malware№ 119
Botnet
Réseau d'équipements connectés à Internet infectés par un malware et pilotés à distance par un attaquant pour mener des actions coordonnées.
- malware№ 201
Commande et contrôle (C2)
Infrastructure et canaux qu'un attaquant utilise pour maintenir la communication avec les systèmes compromis et leur transmettre des instructions.
- network-security№ 344
Tunneling DNS
Canal cache qui encode des donnees arbitraires dans des requetes et reponses DNS sur UDP/TCP port 53, frequemment utilise pour le C2 et l'exfiltration de donnees.