A CISA, o FBI, a NSA e agências internacionais de cibersegurança estão chamando a atenção de organizações e provedores de DNS para mitigar a técnica de evasão de cibercriminalidade conhecida como "Fast Flux", usada por atores de ameaças patrocinados por estados e gangues de ransomware.
Embora a técnica não seja nova, sua eficácia foi documentada e comprovada repetidamente em ataques cibernéticos reais.
Fast Flux é uma técnica de DNS usada para evitar detecção e manter uma infraestrutura resiliente usada para comando e controle (C2), phishing e entrega de malware.
Ela envolve a mudança rápida de registros de DNS (endereços IP e/ou servidores de nomes), tornando difícil para os defensores rastrear a fonte da atividade maliciosa e bloqueá-la.
Geralmente, é alimentado por botnets formadas por grandes redes de sistemas comprometidos que atuam como proxies ou relays para facilitar essas mudanças rápidas.
O boletim da CISA destaca dois principais tipos da técnica, nomeadamente o Single Flux e o Double Flux.
Ao usar o Single Flux, os atacantes rotacionam frequentemente os endereços IP associados a um nome de domínio nas respostas DNS.
Com o Double Flux, além de rotacionar os IPs para o domínio, os próprios servidores de nomes DNS também mudam rapidamente, adicionando uma camada extra de ofuscação para tornar os esforços de desativação ainda mais difíceis.
A CISA diz que o Fast Flux é amplamente utilizado por atores de ameaças de todos os níveis, de criminosos cibernéticos de baixo nível a atores de nações altamente sofisticados.
A agência destaca os casos do Gamaredon, ransomware Hive, ransomware Nefilim e provedores de serviço de hospedagem à prova de balas, todos utilizando Fast Flux para evadir esforços de aplicação da lei e desativação que perturbariam suas operações.
A CISA listou várias medidas para ajudar a detectar e interromper o Fast Flux e mitigar atividades facilitadas pela técnica de evasão.
As técnicas de detecção propostas são resumidas da seguinte forma:
- Analisar os logs de DNS para rotações frequentes de endereços IP, valores TTL baixos, alta entropia de IP e resoluções geograficamente inconsistentes.
- Integrar feeds de ameaças externas e serviços de reputação de DNS/IP em firewalls, SIEMs e resolvedores de DNS para sinalizar domínios de Fast Flux conhecidos e infraestruturas maliciosas.
- Usar dados de fluxo de rede e monitoramento de tráfego DNS para detectar grandes volumes de consultas ou conexões de saída para numerosos IPs em curtos períodos.
- Identificar domínios ou e-mails suspeitos e cruzar referências com anomalias de DNS para detectar campanhas usando Fast Flux para suportar phishing, entrega de malware ou comunicação C2.
- Implementar algoritmos de detecção específicos da organização baseados em comportamento histórico de DNS e linhas de base de rede, melhorando a precisão da detecção sobre regras genéricas.
Para mitigação, a CISA recomenda usar listas de bloqueio de DNS/IP e regras de firewall para bloquear o acesso à infraestrutura de Fast Flux e, quando possível, redirecionar o tráfego para servidores internos para análise adicional.
É também encorajado o uso de pontuação de reputação para bloqueio de tráfego, a implementação de registro centralizado e alertas em tempo real para anomalias de DNS, e a participação em redes de compartilhamento de informações.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...