ファストフラックス
ファストフラックス とは何ですか?
ファストフラックスボットネットが悪意ある ドメインの IP アドレスを多数の侵害ホスト間で短時間で切り替え、テイクダウンとブロックに抗う DNS テクニック。
ファストフラックスは、悪意あるコンテンツを利用可能なまま維持するために犯罪ネットワークが用いる耐性技術です。攻撃者はドメインの TTL を極端に短く設定し、家庭用ルーターや IoT ボットなど多数の侵害デバイスのプールに対して A レコードを数分単位でローテーションします。Single-flux は前面の IP のみを変えますが、Double-flux は権威 DNS サーバーも切り替えるため、テイクダウンはさらに困難になります。Storm Worm、Avalanche、多数のフィッシングキットが C2 や認証情報収集ページの保護に活用しました。対策としてはパッシブ DNS 分析、フラックス FQDN を遮断する RPZ フィード、異常に短い TTL の監視、CISA や欧州法執行機関、ISP によるレジストリ協調でのテイクダウンが有効です。
● 例
- 01
Storm Worm ボットネットは侵害された数千台の家庭用 PC をローテーションして、マルウェアダウンロード用ドメインを維持。
- 02
Avalanche ネットワークは 2016 年のテイクダウンまで、Double-flux でフィッシングやバンキングトロイの配布を隠匿。
● よくある質問
ファストフラックス とは何ですか?
ボットネットが悪意ある ドメインの IP アドレスを多数の侵害ホスト間で短時間で切り替え、テイクダウンとブロックに抗う DNS テクニック。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
ファストフラックス とはどういう意味ですか?
ボットネットが悪意ある ドメインの IP アドレスを多数の侵害ホスト間で短時間で切り替え、テイクダウンとブロックに抗う DNS テクニック。
ファストフラックス からどのように防御しますか?
ファストフラックス に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ファストフラックス の別名は何ですか?
一般的な別名: シングルフラックス, ダブルフラックス。