Fast flux
Что такое Fast flux?
Fast fluxDNS-техника ботнетов, при которой IP-адреса вредоносного домена быстро ротуются между множеством скомпрометированных хостов, чтобы затруднить блокировку и закрытие.
Fast flux — техника устойчивости, используемая криминальными сетями для поддержания доступности вредоносного контента. Атакующий задает домену очень короткий TTL и каждые несколько минут меняет его A-записи между пулом скомпрометированных устройств, часто домашних роутеров или IoT-ботов. Single-flux меняет только фронтовые IP; double-flux ротует и авторитетные DNS-серверы, что еще больше затрудняет takedown. Storm Worm, Avalanche и многие фишинговые киты использовали fast flux для C2 и страниц кражи учетных данных. Защита: пассивный DNS, RPZ-ленты против fluxing FQDN, мониторинг аномально коротких TTL и координированные ликвидации на уровне регистратора с участием CISA, европейских правоохранителей и ISP.
● Примеры
- 01
Ботнет Storm Worm ротовал тысячи скомпрометированных домашних ПК для размещения домена скачивания вредоносного ПО.
- 02
Сеть Avalanche использовала double-flux для прикрытия фишинга и банковских троянов до ликвидации в 2016 году.
● Частые вопросы
Что такое Fast flux?
DNS-техника ботнетов, при которой IP-адреса вредоносного домена быстро ротуются между множеством скомпрометированных хостов, чтобы затруднить блокировку и закрытие. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Fast flux?
DNS-техника ботнетов, при которой IP-адреса вредоносного домена быстро ротуются между множеством скомпрометированных хостов, чтобы затруднить блокировку и закрытие.
Как работает Fast flux?
Fast flux — техника устойчивости, используемая криминальными сетями для поддержания доступности вредоносного контента. Атакующий задает домену очень короткий TTL и каждые несколько минут меняет его A-записи между пулом скомпрометированных устройств, часто домашних роутеров или IoT-ботов. Single-flux меняет только фронтовые IP; double-flux ротует и авторитетные DNS-серверы, что еще больше затрудняет takedown. Storm Worm, Avalanche и многие фишинговые киты использовали fast flux для C2 и страниц кражи учетных данных. Защита: пассивный DNS, RPZ-ленты против fluxing FQDN, мониторинг аномально коротких TTL и координированные ликвидации на уровне регистратора с участием CISA, европейских правоохранителей и ISP.
Как защититься от Fast flux?
Защита от Fast flux обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Fast flux?
Распространённые альтернативные названия: Single-flux, Double-flux.
● Связанные термины
- attacks№ 350
Domain shadowing
Атака, при которой злоумышленник компрометирует учетную запись регистратора владельца легитимного домена и тихо создает вредоносные поддомены под доверенным родительским доменом.
- attacks№ 348
Алгоритм генерации доменов (DGA)
Алгоритм во вредоносном ПО, детерминированно создающий большое число кандидатных доменных имен, чтобы заражённые узлы могли найти свой управляющий сервер.
- malware№ 119
Ботнет
Сеть подключённых к интернету устройств, заражённых вредоносным ПО и удалённо управляемых злоумышленником для координированных действий.
- malware№ 201
Командно-контрольная инфраструктура (C2)
Инфраструктура и каналы, через которые злоумышленник поддерживает связь со скомпрометированными системами и передаёт им команды.
- network-security№ 344
DNS-туннелирование
Скрытый канал, кодирующий произвольные данные в DNS-запросах и ответах на UDP/TCP-порту 53; часто используется для C2 и эксфильтрации.