Fast flux
O que é Fast flux?
Fast fluxTecnica de DNS usada por botnets que faz rodar rapidamente os enderecos IP por tras de um dominio malicioso entre muitos hosts comprometidos para resistir a takedowns e bloqueios.
O fast flux e uma tecnica de resiliencia usada por redes criminosas para manter o seu conteudo malicioso acessivel. O atacante atribui ao dominio um TTL muito curto e faz rodar os registos A num pool de dispositivos comprometidos, frequentemente routers domesticos ou bots IoT, de poucos em poucos minutos. O single-flux altera apenas os IPs de fachada; o double-flux roda tambem os servidores de nomes autoritativos, dificultando ainda mais o takedown. Storm Worm, Avalanche e muitos kits de phishing usaram fast flux para alojar C2 ou paginas de captura de credenciais. Defesas: analise passiva de DNS, feeds RPZ que bloqueiam FQDNs em flux, monitorizacao de TTLs anormalmente baixos e coordenacao de takedowns ao nivel do registo (CISA, policia europeia, ISPs).
● Exemplos
- 01
A botnet Storm Worm fazia rodar milhares de PCs domesticos comprometidos para servir o seu dominio de descarga de malware.
- 02
A rede Avalanche utilizou double-flux para abrigar a distribuicao de phishing e trojans bancarios ate ao seu desmantelamento em 2016.
● Perguntas frequentes
O que é Fast flux?
Tecnica de DNS usada por botnets que faz rodar rapidamente os enderecos IP por tras de um dominio malicioso entre muitos hosts comprometidos para resistir a takedowns e bloqueios. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Fast flux?
Tecnica de DNS usada por botnets que faz rodar rapidamente os enderecos IP por tras de um dominio malicioso entre muitos hosts comprometidos para resistir a takedowns e bloqueios.
Como se defender contra Fast flux?
As defesas contra Fast flux costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Fast flux?
Nomes alternativos comuns: Single-flux, Double-flux.