Fast flux
Что такое Fast flux?
Fast fluxDNS-техника ботнетов, при которой IP-адреса вредоносного домена быстро ротуются между множеством скомпрометированных хостов, чтобы затруднить блокировку и закрытие.
Fast flux — техника устойчивости, используемая криминальными сетями для поддержания доступности вредоносного контента. Атакующий задает домену очень короткий TTL и каждые несколько минут меняет его A-записи между пулом скомпрометированных устройств, часто домашних роутеров или IoT-ботов. Single-flux меняет только фронтовые IP; double-flux ротует и авторитетные DNS-серверы, что еще больше затрудняет takedown. Storm Worm, Avalanche и многие фишинговые киты использовали fast flux для C2 и страниц кражи учетных данных. Защита: пассивный DNS, RPZ-ленты против fluxing FQDN, мониторинг аномально коротких TTL и координированные ликвидации на уровне регистратора с участием CISA, европейских правоохранителей и ISP.
● Примеры
- 01
Ботнет Storm Worm ротовал тысячи скомпрометированных домашних ПК для размещения домена скачивания вредоносного ПО.
- 02
Сеть Avalanche использовала double-flux для прикрытия фишинга и банковских троянов до ликвидации в 2016 году.
● Частые вопросы
Что такое Fast flux?
DNS-техника ботнетов, при которой IP-адреса вредоносного домена быстро ротуются между множеством скомпрометированных хостов, чтобы затруднить блокировку и закрытие. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Fast flux?
DNS-техника ботнетов, при которой IP-адреса вредоносного домена быстро ротуются между множеством скомпрометированных хостов, чтобы затруднить блокировку и закрытие.
Как защититься от Fast flux?
Защита от Fast flux обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Fast flux?
Распространённые альтернативные названия: Single-flux, Double-flux.