ファストフラックス
ファストフラックス とは何ですか?
ファストフラックスボットネットが悪意ある ドメインの IP アドレスを多数の侵害ホスト間で短時間で切り替え、テイクダウンとブロックに抗う DNS テクニック。
ファストフラックスは、悪意あるコンテンツを利用可能なまま維持するために犯罪ネットワークが用いる耐性技術です。攻撃者はドメインの TTL を極端に短く設定し、家庭用ルーターや IoT ボットなど多数の侵害デバイスのプールに対して A レコードを数分単位でローテーションします。Single-flux は前面の IP のみを変えますが、Double-flux は権威 DNS サーバーも切り替えるため、テイクダウンはさらに困難になります。Storm Worm、Avalanche、多数のフィッシングキットが C2 や認証情報収集ページの保護に活用しました。対策としてはパッシブ DNS 分析、フラックス FQDN を遮断する RPZ フィード、異常に短い TTL の監視、CISA や欧州法執行機関、ISP によるレジストリ協調でのテイクダウンが有効です。
● 例
- 01
Storm Worm ボットネットは侵害された数千台の家庭用 PC をローテーションして、マルウェアダウンロード用ドメインを維持。
- 02
Avalanche ネットワークは 2016 年のテイクダウンまで、Double-flux でフィッシングやバンキングトロイの配布を隠匿。
● よくある質問
ファストフラックス とは何ですか?
ボットネットが悪意ある ドメインの IP アドレスを多数の侵害ホスト間で短時間で切り替え、テイクダウンとブロックに抗う DNS テクニック。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
ファストフラックス とはどういう意味ですか?
ボットネットが悪意ある ドメインの IP アドレスを多数の侵害ホスト間で短時間で切り替え、テイクダウンとブロックに抗う DNS テクニック。
ファストフラックス はどのように機能しますか?
ファストフラックスは、悪意あるコンテンツを利用可能なまま維持するために犯罪ネットワークが用いる耐性技術です。攻撃者はドメインの TTL を極端に短く設定し、家庭用ルーターや IoT ボットなど多数の侵害デバイスのプールに対して A レコードを数分単位でローテーションします。Single-flux は前面の IP のみを変えますが、Double-flux は権威 DNS サーバーも切り替えるため、テイクダウンはさらに困難になります。Storm Worm、Avalanche、多数のフィッシングキットが C2 や認証情報収集ページの保護に活用しました。対策としてはパッシブ DNS 分析、フラックス FQDN を遮断する RPZ フィード、異常に短い TTL の監視、CISA や欧州法執行機関、ISP によるレジストリ協調でのテイクダウンが有効です。
ファストフラックス からどのように防御しますか?
ファストフラックス に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ファストフラックス の別名は何ですか?
一般的な別名: シングルフラックス, ダブルフラックス。
● 関連用語
- attacks№ 350
ドメインシャドーイング
攻撃者が正規ドメインの所有者のレジストラ アカウントを侵害し、信頼された親ドメイン配下に悪意あるサブドメインを密かに作成する攻撃。
- attacks№ 348
ドメイン生成アルゴリズム(DGA)
感染ホストが C2 サーバーを発見できるよう、マルウェアが大量の候補ドメインを決定論的に生成するアルゴリズム。
- malware№ 119
ボットネット
マルウェアに感染したインターネット接続機器を攻撃者が遠隔操作し、協調動作を行わせるネットワーク。
- malware№ 201
コマンド&コントロール(C2)
攻撃者が侵害済みシステムとの通信を維持し、指令を送るために用いるインフラと通信チャネル。
- network-security№ 344
DNS トンネリング
UDP/TCP 53 番ポート上の DNS クエリと応答に任意のデータを埋め込む隠蔽チャネルで、C2 やデータ持ち出しによく利用される。