Fast flux
O que é Fast flux?
Fast fluxTecnica de DNS usada por botnets que faz rodar rapidamente os enderecos IP por tras de um dominio malicioso entre muitos hosts comprometidos para resistir a takedowns e bloqueios.
O fast flux e uma tecnica de resiliencia usada por redes criminosas para manter o seu conteudo malicioso acessivel. O atacante atribui ao dominio um TTL muito curto e faz rodar os registos A num pool de dispositivos comprometidos, frequentemente routers domesticos ou bots IoT, de poucos em poucos minutos. O single-flux altera apenas os IPs de fachada; o double-flux roda tambem os servidores de nomes autoritativos, dificultando ainda mais o takedown. Storm Worm, Avalanche e muitos kits de phishing usaram fast flux para alojar C2 ou paginas de captura de credenciais. Defesas: analise passiva de DNS, feeds RPZ que bloqueiam FQDNs em flux, monitorizacao de TTLs anormalmente baixos e coordenacao de takedowns ao nivel do registo (CISA, policia europeia, ISPs).
● Exemplos
- 01
A botnet Storm Worm fazia rodar milhares de PCs domesticos comprometidos para servir o seu dominio de descarga de malware.
- 02
A rede Avalanche utilizou double-flux para abrigar a distribuicao de phishing e trojans bancarios ate ao seu desmantelamento em 2016.
● Perguntas frequentes
O que é Fast flux?
Tecnica de DNS usada por botnets que faz rodar rapidamente os enderecos IP por tras de um dominio malicioso entre muitos hosts comprometidos para resistir a takedowns e bloqueios. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Fast flux?
Tecnica de DNS usada por botnets que faz rodar rapidamente os enderecos IP por tras de um dominio malicioso entre muitos hosts comprometidos para resistir a takedowns e bloqueios.
Como funciona Fast flux?
O fast flux e uma tecnica de resiliencia usada por redes criminosas para manter o seu conteudo malicioso acessivel. O atacante atribui ao dominio um TTL muito curto e faz rodar os registos A num pool de dispositivos comprometidos, frequentemente routers domesticos ou bots IoT, de poucos em poucos minutos. O single-flux altera apenas os IPs de fachada; o double-flux roda tambem os servidores de nomes autoritativos, dificultando ainda mais o takedown. Storm Worm, Avalanche e muitos kits de phishing usaram fast flux para alojar C2 ou paginas de captura de credenciais. Defesas: analise passiva de DNS, feeds RPZ que bloqueiam FQDNs em flux, monitorizacao de TTLs anormalmente baixos e coordenacao de takedowns ao nivel do registo (CISA, policia europeia, ISPs).
Como se defender contra Fast flux?
As defesas contra Fast flux costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Fast flux?
Nomes alternativos comuns: Single-flux, Double-flux.
● Termos relacionados
- attacks№ 350
Domain shadowing
Ataque em que um criminoso compromete a conta registar do dono de um dominio legitimo e cria silenciosamente subdominios maliciosos sob o dominio principal de confianca.
- attacks№ 348
Algoritmo de geracao de dominios (DGA)
Algoritmo usado por malware para gerar deterministicamente grandes quantidades de nomes de dominio candidatos para que hosts infetados encontrem o seu servidor C2.
- malware№ 119
Botnet
Rede de dispositivos ligados à Internet infetados por malware e controlados remotamente por um atacante para executar ações coordenadas.
- malware№ 201
Comando e controlo (C2)
Infraestrutura e canais que os atacantes usam para manter comunicação com sistemas comprometidos e enviar-lhes instruções.
- network-security№ 344
Tunelamento DNS
Canal encoberto que codifica dados arbitrarios em consultas e respostas DNS na UDP/TCP 53, frequentemente usado para comando e controle e exfiltracao de dados.