Las agencias de ciberseguridad de Australia, Canadá, Nueva Zelanda y Estados Unidos han publicado un aviso conjunto sobre los riesgos asociados con una técnica llamamiento Fast Flux que ha sido adoptada por los actores de amenaza para oscurecer un canal de comando y control (C2).
«‘Fast Flux’ es una técnica utilizada para ofuscar las ubicaciones de los servidores maliciosos a través de registros del sistema de nombres de dominio (DNS) que cambian rápidamente (DNS) asociados con un solo nombre de dominio», dijeron las agencias. «Esta amenaza explota una brecha que se encuentra comúnmente en las defensas de la red, lo que dificulta el seguimiento y el retiro de actividades de flujo rápido malvado».
El aviso es cortesía de la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA), Agencia de Seguridad Franquista (NSA), la Oficina Federal de Investigación (FBI), el Centro de Seguridad Cibernética Australiana de las señales de Australia, el Centro Canadiense de Seguridad Cibernética y el Centro Franquista de Seguridad Cibernética de Nueva Zelanda.
El flujo rápido ha sido recogido por muchos grupos de piratería en los últimos abriles, incluidos los actores de amenazas vinculados a Gamaredon, Cryptochameleon y Raspberry Robin en un esfuerzo por hacer que su infraestructura maliciosa evite la detección y los derribos de la aplicación de la ley.
El enfoque esencialmente implica el uso de una variedad de direcciones IP y girándolas en rápida sucesión, al tiempo que apunta a un dominio malvado. Se detectó por primera vez en la naturaleza en 2007 como parte del tesina Honeynet.
Puede ser un solo flujo, donde un solo nombre de dominio está vinculado a numerosas direcciones IP, o doble flujo, donde, adicionalmente de cambiar las direcciones IP, los servidores de nombres DNS responsables de resolver el dominio igualmente cambian con frecuencia, ofreciendo una capa adicional de superfluidad y anonimato para los dominios rebeldes.
«Una red de flujo rápido es ‘rápida’ porque, al usar DNS, tournée rápidamente a través de muchos bots, utilizando cada uno por poco tiempo para dificultar los esfuerzos de denylisting y derribos basados en IP», dijo Palo Detención Networks Unit 42 en un mensaje publicado en 2021.
Al describir el flujo rápido como una amenaza de seguridad franquista, las agencias dijeron que los actores de amenaza están utilizando la técnica para ofuscar las ubicaciones de los servidores maliciosos, así como establecer una infraestructura C2 resistente que pueda resistir los esfuerzos de matanza.
Eso no es todo. Fast Flux juega un papel imprescindible más allá de las comunicaciones C2 para ayudar a los adversarios a organizar sitios web de phishing, así como en el decorado y distribuir malware.
Para fijar el flujo rápido, las organizaciones se recomiendan encerrar direcciones IP, dominios maliciosos del sumidero, filtrar el tráfico en dirección a y desde dominios o direcciones IP con mala reputación, implementar un monitoreo mejorado y hacer cumplir la conciencia y la capacitación de phishing.
«El flujo rápido representa una amenaza persistente para la seguridad de la red, aprovechando la infraestructura que cambia rápidamente para ofuscar la actividad maliciosa», dijeron las agencias. «Al implementar estrategias de detección y mitigación sólidas, las organizaciones pueden someter significativamente su peligro de compromiso por amenazas rápidas con flujo».
