Agências de cibersegurança da Austrália, Canadá, Nova Zelândia e Estados Unidos publicaram um comunicado conjunto sobre os riscos associados a uma técnica chamada "fast flux", adotada por agentes de ameaças para ocultar um canal de comando e controle (C2).
"O 'fast flux' é uma técnica usada para ofuscar os locais de servidores maliciosos por meio da alteração rápida dos registros do Domain Name System (DNS) associados a um único nome de domínio", disseram as agências.
Esta ameaça explora uma lacuna comumente encontrada nas defesas de rede, tornando difícil o rastreamento e bloqueio das atividades maliciosas de fast flux.
O comunicado é cortesia da U.S. Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), Centro de Cibersegurança da Diretoria de Sinais da Austrália, Centro Canadense de Cibersegurança e Centro Nacional de Cibersegurança da Nova Zelândia.
O "fast flux" foi adotado por diversos grupos de hackers nos últimos anos, incluindo agentes de ameaças vinculados ao Gamaredon, CryptoChameleon e Raspberry Robin, numa tentativa de fazer sua infraestrutura maliciosa evadir detecção e desmantelamentos por parte da aplicação da lei.
A abordagem essencialmente consiste em usar uma variedade de endereços IP e rotacioná-los em rápida sucessão, enquanto apontam para um domínio malicioso.
Foi detectado pela primeira vez "in the wild" em 2007 como parte do Honeynet Project.
Pode ser um "single flux", onde um único nome de domínio está ligado a vários endereços IP, ou "double flux", onde além de alterar os endereços IP, os DNS name servers responsáveis por resolver o domínio também são frequentemente alterados, oferecendo uma camada extra de redundância e anonimato para os domínios maliciosos.
"Uma rede de fast flux é 'rápida' porque, usando o DNS, ela rapidamente passa por muitos bots, usando cada um por apenas um curto período de tempo para dificultar os esforços de denylisting baseados em IP e desmontagem", disse a Unit 42 da Palo Alto Networks em um relatório publicado em 2021.
Descrevendo o fast flux como uma ameaça à segurança nacional, as agências disseram que os agentes de ameaças estão usando a técnica para ofuscar os locais dos servidores maliciosos, bem como estabelecer uma infraestrutura de C2 resiliente que pode resistir a esforços de desmontagem.
Isso não é tudo.
O fast flux desempenha um papel vital além das comunicações de C2 para também ajudar os adversários a hospedar websites de phishing, bem como encenar e distribuir malware.
Para se proteger contra o fast flux, recomenda-se às organizações bloquear endereços IP, realizar o sinkhole de domínios maliciosos, filtrar o tráfego de e para domínios ou endereços IP com má reputação, implementar monitoramento aprimorado e reforçar a conscientização e treinamento contra phishing.
"O fast flux representa uma ameaça persistente à segurança da rede, alavancando uma infraestrutura que muda rapidamente para ofuscar atividades maliciosas", disseram as agências.
Implementando estratégias robustas de detecção e mitigação, as organizações podem reduzir significativamente o risco de comprometimento por ameaças habilitadas pelo fast flux.
Em uma declaração compartilhada com o The Hacker News, Renee Burton, vice-presidente de inteligência de ameaças na Infoblox, descreveu o fast flux como uma técnica "muito antiga", embora uma que requer "habilidades significativas" para ser executada de forma independente.
"É mais fácil usar o DNS dinâmico, que é uma oferta comum de serviço dos provedores de DNS", disse Burton.
Uma vez que o agente de ameaça supera o obstáculo de controlar o DNS, ele ainda precisa de hospedagem.
Eles podem usar máquinas comprometidas ou comprar muito hospedagem.
Só podemos adivinhar por que isso não é comum, mas, no geral, exige recursos e reflexão dos atores e não oferece tanta vantagem em um ataque.
Burton também apontou que os atacantes podem adotar outras técnicas para manter sua infraestrutura viva por períodos prolongados de tempo.
Isso inclui o uso de sistemas de distribuição de tráfego (TDS) e ocultação de domínio para fins de publicidade maliciosa.
"Os atacantes, usando vários componentes da adtech, não só podem esconder suas operações, mas os maus atores na indústria (semelhante aos hosters à prova de balas) podem argumentar plausibilidade denegável," disse Burton.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...